| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Crypt.EPACK.Gen8 in C:\Users\***\AppData\Roaming\45E4CC\45E4CC.exeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
22.03.2013, 10:14
| #1 |
| |  TR/Crypt.EPACK.Gen8 in C:\Users\***\AppData\Roaming\45E4CC\45E4CC.exe Hallo, Heute Morgen habe ich, nachdem ich den Laptop eingeschaltet habe, eine Trojaner/Malware Meldung von Avira angezeigt bekommen. Das komische ist, dass ich einen Suchlauf am 20.3. gestartet und hat nichts gefunden (sollte ich davon noch die Logdatei hochladen bzw. weitere Angaben, die für euch brauchbar sind, habe hier leider nicht viel Ahnung). Hier die Logdatei von Avira Code:
ATTFilter
Avira Internet Security 2012
Erstellungsdatum der Reportdatei: Freitag, 22. März 2013 08:41
Es wird nach 5108182 Virenstämmen gesucht.
Das Programm läuft als Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : ***
Seriennummer : 2216828710-ISECE-0000001
Plattform : Windows Vista (TM) Home Premium
Windowsversion : (plain) [6.0.6000]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ***-PC
Versionsinformationen:
BUILD.DAT : 12.1.9.1197 48681 Bytes 11.10.2012 15:22:00
AVSCAN.EXE : 12.3.0.48 468256 Bytes 17.11.2012 09:59:45
AVSCAN.DLL : 12.3.0.15 66256 Bytes 17.05.2012 18:08:34
LUKE.DLL : 12.3.0.15 68304 Bytes 17.05.2012 18:08:35
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 08.05.2012 18:05:51
AVREG.DLL : 12.3.0.17 232200 Bytes 10.05.2012 18:05:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 08:34:33
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 20:43:58
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 15:08:14
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 14:00:25
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 18:00:42
VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 15:57:55
VBASE007.VDF : 7.11.50.230 3904512 Bytes 22.11.2012 16:13:09
VBASE008.VDF : 7.11.65.172 9122816 Bytes 21.03.2013 17:30:41
VBASE009.VDF : 7.11.65.173 2048 Bytes 21.03.2013 17:30:41
VBASE010.VDF : 7.11.65.174 2048 Bytes 21.03.2013 17:30:42
VBASE011.VDF : 7.11.65.175 2048 Bytes 21.03.2013 17:30:42
VBASE012.VDF : 7.11.65.176 2048 Bytes 21.03.2013 17:30:42
VBASE013.VDF : 7.11.65.177 2048 Bytes 21.03.2013 17:30:43
VBASE014.VDF : 7.11.65.178 2048 Bytes 21.03.2013 17:30:43
VBASE015.VDF : 7.11.65.179 2048 Bytes 21.03.2013 17:30:44
VBASE016.VDF : 7.11.65.180 2048 Bytes 21.03.2013 17:30:44
VBASE017.VDF : 7.11.65.181 2048 Bytes 21.03.2013 17:30:44
VBASE018.VDF : 7.11.65.182 2048 Bytes 21.03.2013 17:30:44
VBASE019.VDF : 7.11.65.183 2048 Bytes 21.03.2013 17:30:45
VBASE020.VDF : 7.11.65.184 2048 Bytes 21.03.2013 17:30:45
VBASE021.VDF : 7.11.65.185 2048 Bytes 21.03.2013 17:30:46
VBASE022.VDF : 7.11.65.186 2048 Bytes 21.03.2013 17:30:46
VBASE023.VDF : 7.11.65.187 2048 Bytes 21.03.2013 17:30:46
VBASE024.VDF : 7.11.65.188 2048 Bytes 21.03.2013 17:30:46
VBASE025.VDF : 7.11.65.189 2048 Bytes 21.03.2013 17:30:46
VBASE026.VDF : 7.11.65.190 2048 Bytes 21.03.2013 17:30:46
VBASE027.VDF : 7.11.65.191 2048 Bytes 21.03.2013 17:30:46
VBASE028.VDF : 7.11.65.192 2048 Bytes 21.03.2013 17:30:46
VBASE029.VDF : 7.11.65.193 2048 Bytes 21.03.2013 17:30:46
VBASE030.VDF : 7.11.65.194 2048 Bytes 21.03.2013 17:30:46
VBASE031.VDF : 7.11.66.20 53760 Bytes 21.03.2013 17:30:46
Engineversion : 8.2.12.18
AEVDF.DLL : 8.1.2.10 102772 Bytes 10.07.2012 18:02:20
AESCRIPT.DLL : 8.1.4.100 475517 Bytes 21.03.2013 17:30:54
AESCN.DLL : 8.1.10.0 131445 Bytes 14.12.2012 13:48:32
AESBX.DLL : 8.2.5.12 606578 Bytes 14.06.2012 16:56:56
AERDL.DLL : 8.2.0.88 643444 Bytes 10.01.2013 17:37:27
AEPACK.DLL : 8.3.2.2 827767 Bytes 14.03.2013 17:22:41
AEOFFICE.DLL : 8.1.2.56 205180 Bytes 08.03.2013 17:21:28
AEHEUR.DLL : 8.1.4.258 5853561 Bytes 21.03.2013 17:30:53
AEHELP.DLL : 8.1.25.2 258423 Bytes 12.10.2012 12:14:33
AEGEN.DLL : 8.1.6.16 434549 Bytes 24.01.2013 16:17:21
AEEXP.DLL : 8.4.0.14 192886 Bytes 21.03.2013 17:30:54
AEEMU.DLL : 8.1.3.2 393587 Bytes 10.07.2012 18:02:18
AECORE.DLL : 8.1.31.2 201080 Bytes 19.02.2013 17:14:14
AEBB.DLL : 8.1.1.4 53619 Bytes 05.11.2012 16:17:46
AVWINLL.DLL : 12.3.0.15 27344 Bytes 17.05.2012 18:08:34
AVPREF.DLL : 12.3.0.32 50720 Bytes 17.11.2012 09:59:44
AVREP.DLL : 12.3.0.15 179208 Bytes 08.05.2012 18:05:51
AVARKT.DLL : 12.3.0.33 209696 Bytes 17.11.2012 09:59:43
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 17.05.2012 18:08:34
SQLITE3.DLL : 3.7.0.1 398288 Bytes 17.05.2012 18:08:35
AVSMTP.DLL : 12.3.0.32 63992 Bytes 09.08.2012 13:31:32
NETNT.DLL : 12.3.0.15 17104 Bytes 17.05.2012 18:08:35
RCIMAGE.DLL : 12.3.0.31 4819704 Bytes 09.08.2012 13:31:15
RCTEXT.DLL : 12.3.0.32 98848 Bytes 17.11.2012 09:59:13
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_514c0a34\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Dateierweiterungen....................: +AVI,
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Beginn des Suchlaufs: Freitag, 22. März 2013 08:41
C:\Windows\System32\checkdisku.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.156377
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autoscan> wurde erfolgreich repariert.
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[WARNUNG] Die Datei konnte nicht gelöscht werden!
C:\Users\Hab\AppData\Roaming\45E4CC\45E4CC.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.EPACK.Gen8
[HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1314715906-852262232-1004109916-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Realtek> wurde erfolgreich repariert.
[HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_6_602_171.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_6_602_171.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ePowerSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'capuserv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'eRecoveryService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'xaudio.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MobilityService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'eNet Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'eLockServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'eDSService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avfwsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'checkdisku.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> <C:\Windows\System32\checkdisku.exe>
[FUND] Ist das Trojanische Pferd TR/Kazy.156377
[HINWEIS] Prozess 'checkdisku.exe' wurde beendet
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7efc925f.qua' verschoben!
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'eDSLoader.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrustedInstaller.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WMIADAP.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\Windows\System32\checkdisku.exe'
Der zu durchsuchende Pfad C:\Windows\System32\checkdisku.exe konnte nicht geöffnet werden!
Systemfehler [2]: Das System kann die angegebene Datei nicht finden.
Ende des Suchlaufs: Freitag, 22. März 2013 08:46
Benötigte Zeit: 05:17 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
0 Verzeichnisse wurden überprüft
2515 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
2512 Dateien ohne Befall
14 Archive wurden durchsucht
2 Warnungen
3 Hinweise
Code:
ATTFilter Malwarebytes Anti-Rootkit BETA 1.01.0.1021
www.malwarebytes.org
Database version: v2013.03.22.02
Windows Vista x86 NTFS
Internet Explorer 7.0.6000.17037
*** :: ***-PC [administrator]
22.03.2013 09:19:49
mbar-log-2013-03-22 (09-19-49).txt
Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled:
Objects scanned: 27535
Time elapsed: 21 minute(s), 43 second(s)
Memory Processes Detected: 0
(No malicious items detected)
Memory Modules Detected: 0
(No malicious items detected)
Registry Keys Detected: 0
(No malicious items detected)
Registry Values Detected: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Java Auto Update (Backdoor.Bot) -> Data: C:\Users\***\AppData\Roaming\Java\Update\Download\Cache\jsheded.exe -> Delete on reboot.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|Realtek (Trojan.Agent.ED) -> Data: C:\Users\***\AppData\Roaming\45E4CC\45E4CC.exe -> Delete on reboot.
Registry Data Items Detected: 0
(No malicious items detected)
Folders Detected: 0
(No malicious items detected)
Files Detected: 2
c:\Users\Hab\AppData\Roaming\Java\Update\Download\Cache\jsheded.exe (Backdoor.Bot) -> Delete on reboot.
c:\Users\Hab\AppData\Roaming\45E4CC\45E4CC.exe (Trojan.Agent.ED) -> Delete on reboot.
(end)
Geändert von amusedP (22.03.2013 um 10:25 Uhr) |
| Themen zu TR/Crypt.EPACK.Gen8 in C:\Users\***\AppData\Roaming\45E4CC\45E4CC.exe |
| .dll, administrator, antivir, avira, desktop, explorer, fehler, home, internet, neustart, programm, prozesse, quelldatei, realtek, registry, security, services.exe, software, svchost.exe, temp, trojan.agent.ed, vista, warnung, windows, winlogon.exe, wuauclt.exe |
Baum-Darstellung