Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: AntiVir meldet TR/Crypt.XDR.Gen' in 'C:\WINDOWS\system32\drivers\amd64si.sys'

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 06.04.2009, 15:07   #16
irie
 
AntiVir meldet TR/Crypt.XDR.Gen' in  'C:\WINDOWS\system32\drivers\amd64si.sys' - Standard

AntiVir meldet TR/Crypt.XDR.Gen' in 'C:\WINDOWS\system32\drivers\amd64si.sys'



so okay nun der link zum log von random's system information tool:

http://www.file-upload.net/download-1570787/log.txt.html

hoffe, das hat geklappt.

lg, irie

Alt 06.04.2009, 15:10   #17
irie
 
AntiVir meldet TR/Crypt.XDR.Gen' in  'C:\WINDOWS\system32\drivers\amd64si.sys' - Standard

AntiVir meldet TR/Crypt.XDR.Gen' in 'C:\WINDOWS\system32\drivers\amd64si.sys'



so und nun zum letzten: was ist die bootplatte? die mit windows drauf und nicht die recovery, oder? ich frag lieber nochmal!

lg, irie
__________________


Alt 06.04.2009, 15:30   #18
irie
 
AntiVir meldet TR/Crypt.XDR.Gen' in  'C:\WINDOWS\system32\drivers\amd64si.sys' - Standard

AntiVir meldet TR/Crypt.XDR.Gen' in 'C:\WINDOWS\system32\drivers\amd64si.sys'



habe hier folgendes problem: hab die mbr.exe unter C:\ gepackt. wäre der pfad ja dann also C:\mbr. wenn ich start --> ausführen --> cmd eingebe, kommt aber immer sofort C:\Dokumente und Einstellungen\HP-Besitzer...kann da nix verändern. Soll ich die mbr.exe dann in diesen ordner verschieben?
fragen über fragen...sorry.

lg, irie
__________________

Alt 06.04.2009, 15:43   #19
Chris4You
 
AntiVir meldet TR/Crypt.XDR.Gen' in  'C:\WINDOWS\system32\drivers\amd64si.sys' - Standard

AntiVir meldet TR/Crypt.XDR.Gen' in 'C:\WINDOWS\system32\drivers\amd64si.sys'



Hi,

die mit Windows drauf....

Noch zwei Sachen:

......RegisterySearch:
Download Registry Search by Bobbi Flekman
<http://virus-protect.org/artikel/tools/regsearch.html>
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

Zitat:
nm.sys
in edit und klicke "Ok".
Notepad wird sich oeffnen - poste den text

Danach bitte noch nach:
Zitat:
NMnt.sys
suchen.

Online bitte prüfen (virustotal):
C:\WINDOWS\system32\DRIVERS\NMnt.sys

chris

Ps.: Wenn Du die commandline öffnest (cmd.exe), dann kannst Du durch die Eingabe von
cd \Pfad_wo_ich_hinmöchte das Verzeichnis wechseln (CD=change Directory)
In Deinem Fall würde ein C:\ genügen um auf C.\ zu kommen
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 06.04.2009, 15:54   #20
irie
 
AntiVir meldet TR/Crypt.XDR.Gen' in  'C:\WINDOWS\system32\drivers\amd64si.sys' - Standard

AntiVir meldet TR/Crypt.XDR.Gen' in 'C:\WINDOWS\system32\drivers\amd64si.sys'



hier schon mal die ergebnisse von registry search zu nm.sys

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0

; Results at 06.04.2009 16:49:13 for strings:
; 'nm.sys '
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...

Hier die Ergebnisse zu NMnt.sys:

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0

; Results at 06.04.2009 16:53:07 for strings:
; 'nmnt.sys'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\nm]
; Contents of value:
; system32\DRIVERS\NMnt.sys
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,4e,00,4d,00,6e,00,74,00,2e,00,73,\
00,79,00,73,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\nm]
; Contents of value:
; system32\DRIVERS\NMnt.sys
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,4e,00,4d,00,6e,00,74,00,2e,00,73,\
00,79,00,73,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nm]
; Contents of value:
; system32\DRIVERS\NMnt.sys
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,4e,00,4d,00,6e,00,74,00,2e,00,73,\
00,79,00,73,00,00,00

; End Of The Log...


Alt 06.04.2009, 16:06   #21
Chris4You
 
AntiVir meldet TR/Crypt.XDR.Gen' in  'C:\WINDOWS\system32\drivers\amd64si.sys' - Standard

AntiVir meldet TR/Crypt.XDR.Gen' in 'C:\WINDOWS\system32\drivers\amd64si.sys'



Hi,

hast Du oben die Anweisung im vorangegangen Post gesehen, wie Du in der CMD das Verzeichnis wechseln kannst?

Bin jetzt weg, morgen wieder erreichbar...

chris
__________________
--> AntiVir meldet TR/Crypt.XDR.Gen' in 'C:\WINDOWS\system32\drivers\amd64si.sys'

Alt 06.04.2009, 16:15   #22
irie
 
AntiVir meldet TR/Crypt.XDR.Gen' in  'C:\WINDOWS\system32\drivers\amd64si.sys' - Standard

AntiVir meldet TR/Crypt.XDR.Gen' in 'C:\WINDOWS\system32\drivers\amd64si.sys'



Hier die Ergebnisse (hab auf Permalink geklickt und dann kam folgendes):

Code:
ATTFilter
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
a-squared	4.0.0.101	2009.04.06	-
AhnLab-V3	5.0.0.2	2009.04.06	-
AntiVir	7.9.0.138	2009.04.06	-
Antiy-AVL	2.0.3.1	2009.04.06	-
Authentium	5.1.2.4	2009.04.05	-
Avast	4.8.1335.0	2009.04.06	-
AVG	8.5.0.285	2009.04.06	-
BitDefender	7.2	2009.04.06	-
CAT-QuickHeal	10.00	2009.04.06	-
ClamAV	0.94.1	2009.04.06	-
Comodo	1101	2009.04.06	-
DrWeb	4.44.0.09170	2009.04.06	-
eSafe	7.0.17.0	2009.04.06	-
eTrust-Vet	31.6.6435	2009.04.03	-
F-Prot	4.4.4.56	2009.04.05	-
F-Secure	8.0.14470.0	2009.04.06	-
Fortinet	3.117.0.0	2009.04.06	-
GData	19	2009.04.06	-
Ikarus	T3.1.1.49.0	2009.04.06	-
K7AntiVirus	7.10.694	2009.04.06	-
Kaspersky	7.0.0.125	2009.04.06	-
McAfee	5575	2009.04.05	-
McAfee+Artemis	5575	2009.04.05	-
McAfee-GW-Edition	6.7.6	2009.04.06	-
Microsoft	1.4502	2009.04.06	-
NOD32	3989	2009.04.06	-
Norman	6.00.06	2009.04.06	-
nProtect	2009.1.8.0	2009.04.06	-
Panda	10.0.0.14	2009.04.05	-
PCTools	4.4.2.0	2009.04.06	-
Prevx1	V2	2009.04.06	-
Rising	21.23.41.00	2009.04.03	-
Sophos	4.40.0	2009.04.06	-
Sunbelt	3.2.1858.2	2009.04.04	-
Symantec	1.4.4.12	2009.04.06	-
TheHacker	6.3.4.0.302	2009.04.06	-
TrendMicro	8.700.0.1004	2009.04.06	-
VBA32	3.12.10.2	2009.04.06	-
ViRobot	2009.4.6.1680	2009.04.06	-
VirusBuster	4.6.5.0	2009.04.05	-
weitere Informationen
File size: 40320 bytes
MD5...: 1e421a6bcf2203cc61b821ada9de878b
SHA1..: 827c14898fab0cdbfb4efa11cb15900534c2c7b4
SHA256: c658f1d5dce7525cf929c65c46ab2881c99d89bf8f0f61c1d440c9d9bfb2f89f
SHA512: bb424f813ef1643eaa7096be9efcbf64d094fc66ce40a48020b64660af031941
06aaf331a73b067134b5ac9eecbc1865330c1c67974bba7e2cfa3aa1d94b1f01
ssdeep: 768:zV0A/zwUcOklfxDppd4o2g7whSoOZiY1MRE+h2Uzcy+ZK:zV08qOklfx/d4h
g7whGijR9p5
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x8983
timedatestamp.....: 0x48025692 (Sun Apr 13 18:53:06 2008)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x300 0x63bc 0x6400 6.36 58fc79ddb5dfc7909d685fe899f9bf63
.rdata 0x6700 0x224 0x280 3.23 5332f9b33393b2f710be6cc487ecc793
.data 0x6980 0x1c0 0x200 1.39 6935d7c9d77abe8312f1fdcc300e957c
PAGE 0x6b80 0x1bbb 0x1c00 5.92 918478f26bc733624e7b5884e6ef26d5
INIT 0x8780 0xb46 0xb80 5.67 9dd339a67fc0ea6400c34b30f6c39b19
.rsrc 0x9300 0x3d8 0x400 3.32 1939d0e2d79884725dc05af3c982e711
.reloc 0x9700 0x618 0x680 5.73 1c0a4115a4989fe4983099078ff3ad0a

( 4 imports )
> ntoskrnl.exe: ZwSetValueKey, RtlEqualUnicodeString, RtlUnicodeStringToAnsiString, RtlInitAnsiString, ZwCreateKey, ExInterlockedFlushSList, MmMapLockedPagesSpecifyCache, IofCompleteRequest, IoWriteErrorLogEntry, IoAllocateErrorLogEntry, wcslen, KeQuerySystemTime, KeNumberProcessors, KeQueryInterruptTime, RtlCompareMemory, KefReleaseSpinLockFromDpcLevel, KefAcquireSpinLockAtDpcLevel, memmove, ZwQueryValueKey, KeResetEvent, KeWaitForSingleObject, KeInitializeEvent, KeSetEvent, ExfInterlockedRemoveHeadList, IoFreeMdl, InterlockedPopEntrySList, InterlockedPushEntrySList, MmMapLockedPages, KeCancelTimer, KeInitializeTimer, KeInitializeDpc, KeSetTimer, ExInterlockedAddLargeStatistic, KeTickCount, KeQueryTimeIncrement, KeBugCheckEx, RtlQueryRegistryValues, ZwClose, RtlInitUnicodeString, ZwOpenKey, IoGetCurrentProcess, ExAcquireResourceExclusiveLite, IoSetShareAccess, SeAssignSecurity, IoRemoveShareAccess, ExReleaseResourceLite, ExQueueWorkItem, SeDeassignSecurity, _except_handler3, ExFreePoolWithTag, ExfInterlockedPopEntryList, ExAllocatePoolWithTag, ExfInterlockedPushEntryList, IoAcquireCancelSpinLock, IoReleaseCancelSpinLock, ExDeleteResourceLite, IoDeleteDevice, IoCreateDevice, KeInitializeSpinLock, _alldiv, ExInitializeResourceLite
> HAL.dll: KfReleaseSpinLock, KfLowerIrql, KfRaiseIrql, KfAcquireSpinLock
> NDIS.SYS: NdisCopyBuffer, NdisCompletePnPEvent, NdisRegisterProtocol, NdisUnchainBufferAtFront, NdisFreePacket, NdisCloseAdapter, NdisCopyFromPacketToPacket, NdisAllocatePacketPoolEx, NdisSetPacketPoolProtocolId, NdisAllocateBufferPool, NdisRequest, NdisDeregisterProtocol, NdisFreePacketPool, NdisFreeBufferPool, NdisAllocateBuffer, NdisAllocatePacket, NdisOpenAdapter
> TDI.SYS: TdiCopyBufferToMdl

( 0 exports )
RDS...: NSRL Reference Data Set
-
packers (Kaspersky): PE_Patch
         


Hab deine Anweisungen zu cmd gelesen, aber leider komm ich da trotzdem nicht weiter. Nach der Eingabe von ausführen --> cmd kommt dann der schwarze kasten und da steht dann voreingestellt C:\Dokumente und Einstellungen\Hp_Besitzer\...was soll ich dann daran direkt anhängen?

Alt 06.04.2009, 19:39   #23
Chris4You
 
AntiVir meldet TR/Crypt.XDR.Gen' in  'C:\WINDOWS\system32\drivers\amd64si.sys' - Standard

AntiVir meldet TR/Crypt.XDR.Gen' in 'C:\WINDOWS\system32\drivers\amd64si.sys'



Hi,

einfach in den "Kasten" bitte cd \ und dann Datenfreigabe eingeben...
Die Commandline wechselt dann in das Root-Verzeichnis von C, dort wo Du auch MBR.EXE abgelegt hast, dann sollte das mit dem Aufruf klappen...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 06.04.2009, 20:30   #24
irie
 
AntiVir meldet TR/Crypt.XDR.Gen' in  'C:\WINDOWS\system32\drivers\amd64si.sys' - Standard

AntiVir meldet TR/Crypt.XDR.Gen' in 'C:\WINDOWS\system32\drivers\amd64si.sys'



hey,

also die eingabe hat jetzt endlich geklappt hatte ständig den doppelpunkt mit eingegeben nach cd.

so und die reportdatei sieht so aus:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

alles richtig gemacht?
lg, irie

Alt 07.04.2009, 07:36   #25
Chris4You
 
AntiVir meldet TR/Crypt.XDR.Gen' in  'C:\WINDOWS\system32\drivers\amd64si.sys' - Standard

AntiVir meldet TR/Crypt.XDR.Gen' in 'C:\WINDOWS\system32\drivers\amd64si.sys'



Hi,

ja, ist OK...
Damit finde ich anhand der Logs nichts mehr...
Was treibt der Rechnerß

Chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 07.04.2009, 08:36   #26
irie
 
AntiVir meldet TR/Crypt.XDR.Gen' in  'C:\WINDOWS\system32\drivers\amd64si.sys' - Standard

AntiVir meldet TR/Crypt.XDR.Gen' in 'C:\WINDOWS\system32\drivers\amd64si.sys'



Hey,

hab den Rechner gerade hoch gefahren. Geht alles recht langsam. Also der schnellste war der eh nicht mehr, aber erscheint mir langsamer als sonst. Soll ich AntiVir nochmal durchlaufen lassen? Im Moment kommt sonst keine Warnung/ kein Fund, aber die kamen meist erst, wenn der Rechner ne kurze Zeit an war. Ähm und die ganzen Sachen, die ich nun in Quarantäne hab: Kann ich dir irgendwie sicher löschen oder müssen die nun ewig da drin bleiben? Will die irgendwie da raus haben

lg, irie

Alt 07.04.2009, 09:21   #27
irie
 
AntiVir meldet TR/Crypt.XDR.Gen' in  'C:\WINDOWS\system32\drivers\amd64si.sys' - Standard

AntiVir meldet TR/Crypt.XDR.Gen' in 'C:\WINDOWS\system32\drivers\amd64si.sys'



Hey,

also ich bin jetzt gerade dabei, AntiVir nochmal durchlaufen zu lassen. Kann jetzt schon mal sagen, dass AntiVir den Tr/Drop.Agent.qkm gefunden hat an zwei oder drei Stellen. Immer jedoch auf der Seite mit eingeschränktem Benutzerkonto. Darüber gehen meine Eltern immer ins Netz. Über TR/Crypt.XDR.Gen kam aber noch nix. Werde den report später posten.

lg, irie

Alt 07.04.2009, 09:55   #28
Chris4You
 
AntiVir meldet TR/Crypt.XDR.Gen' in  'C:\WINDOWS\system32\drivers\amd64si.sys' - Standard

AntiVir meldet TR/Crypt.XDR.Gen' in 'C:\WINDOWS\system32\drivers\amd64si.sys'



Hallo,

unbedingt die Funde posten, war das eingeschränkte Konte inzwischen aktiv (wurde es genutzt)?

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 07.04.2009, 10:28   #29
irie
 
AntiVir meldet TR/Crypt.XDR.Gen' in  'C:\WINDOWS\system32\drivers\amd64si.sys' - Standard

AntiVir meldet TR/Crypt.XDR.Gen' in 'C:\WINDOWS\system32\drivers\amd64si.sys'



Hey,

ja soweit ich weiß, war mein Dad gestern dadrauf. Ich hab auch das Gefühl, dass die sich sofort vermehren, wenn ich die einen TR in die Quarantäne packe. Die wird immer voller. Die einen sind weg und irgendwie generieren sich dann gleich neue. Hier der report von antivir:

Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 7. April 2009  09:57

Es wird nach 1342678 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:   (Service Pack 3)  [5.1.2600]
Boot Modus:       Normal gebootet
Benutzername:     SYSTEM
Computername:     DIETER

Versionsinformationen:
BUILD.DAT     : 8.2.0.347      16934 Bytes  16.03.2009 14:45:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  27.11.2008 19:01:58
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  18.07.2008 11:12:32
LUKE.DLL      : 8.1.4.5       164097 Bytes  18.07.2008 11:12:32
LUKERES.DLL   : 8.1.4.0        12545 Bytes  18.07.2008 11:12:32
ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  27.10.2008 16:41:22
ANTIVIR1.VDF  : 7.1.2.12     3336192 Bytes  11.02.2009 22:09:08
ANTIVIR2.VDF  : 7.1.3.0      1330176 Bytes  01.04.2009 07:51:22
ANTIVIR3.VDF  : 7.1.3.22      105984 Bytes  07.04.2009 07:29:53
Engineversion : 8.2.0.138 
AEVDF.DLL     : 8.1.1.0       106868 Bytes  31.01.2009 11:26:58
AESCRIPT.DLL  : 8.1.1.73      373114 Bytes  04.04.2009 09:05:39
AESCN.DLL     : 8.1.1.10      127348 Bytes  04.04.2009 09:05:38
AERDL.DLL     : 8.1.1.3       438645 Bytes  07.11.2008 22:51:55
AEPACK.DLL    : 8.1.3.12      397687 Bytes  04.04.2009 09:05:38
AEOFFICE.DLL  : 8.1.0.36      196987 Bytes  26.02.2009 22:52:29
AEHEUR.DLL    : 8.1.0.114    1700214 Bytes  04.04.2009 09:05:37
AEHELP.DLL    : 8.1.2.2       119158 Bytes  26.02.2009 22:52:25
AEGEN.DLL     : 8.1.1.33      340340 Bytes  04.04.2009 09:05:33
AEEMU.DLL     : 8.1.0.9       393588 Bytes  19.10.2008 20:32:38
AECORE.DLL    : 8.1.6.7       176502 Bytes  04.04.2009 09:05:32
AEBB.DLL      : 8.1.0.3        53618 Bytes  19.10.2008 20:32:35
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  18.07.2008 11:12:32
AVPREF.DLL    : 8.0.2.0        38657 Bytes  18.07.2008 11:12:32
AVREP.DLL     : 8.0.0.2        98344 Bytes  04.08.2008 08:10:04
AVREG.DLL     : 8.0.0.1        33537 Bytes  18.07.2008 11:12:32
AVARKT.DLL    : 1.0.0.23      307457 Bytes  20.04.2008 17:22:20
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  18.07.2008 11:12:32
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  20.04.2008 17:22:21
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  18.07.2008 11:12:32
NETNT.DLL     : 8.0.0.1         7937 Bytes  20.04.2008 17:22:21
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  18.07.2008 11:12:28
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  18.07.2008 11:12:28

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, J:, K:, 
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, 
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Dienstag, 7. April 2009  09:57

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '70902' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BrMfcMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SUPERAntiSpyware.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACDaemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BrMfcWnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pptd40nt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'issch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ToADiMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'kbd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpsysdrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'prevx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'prevx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '41' Prozesse mit '41' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD4
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'J:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'K:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '71' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <HP_PAVILION>
C:\hiberfil.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Mum & Dad\Lokale Einstellungen\Temp\BN250B.tmp
    [FUND]      Ist das Trojanische Pferd TR/Drop.Agent.qkm
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a0d0be4.qua' verschoben!
C:\Dokumente und Einstellungen\Mum & Dad\Lokale Einstellungen\Temp\BN2513.tmp
    [FUND]      Ist das Trojanische Pferd TR/Drop.Agent.qkm
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a0d0bee.qua' verschoben!
C:\Dokumente und Einstellungen\Mum & Dad\Lokale Einstellungen\Temp\BN2607.tmp
    [FUND]      Ist das Trojanische Pferd TR/Drop.Agent.qkm
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a0d0bf1.qua' verschoben!
C:\Dokumente und Einstellungen\Mum & Dad\Lokale Einstellungen\Temp\BN2608.tmp
    [FUND]      Ist das Trojanische Pferd TR/Drop.Agent.qkm
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a0d0bf3.qua' verschoben!
C:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP803\A0129166.exe
    [FUND]      Ist das Trojanische Pferd TR/Nomen.A
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a0c12d4.qua' verschoben!
C:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP803\A0129173.sys
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a0c12d9.qua' verschoben!
C:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP803\A0129174.sys
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a0c12dc.qua' verschoben!
C:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP803\A0129175.sys
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a0c12de.qua' verschoben!
Beginne mit der Suche in 'D:\' <HP_RECOVERY>
Beginne mit der Suche in 'J:\' <Musik>
Beginne mit der Suche in 'K:\' <Spiele>
K:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Dienstag, 7. April 2009  11:19
Benötigte Zeit:  1:22:19 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

   8985 Verzeichnisse wurden überprüft
 588371 Dateien wurden geprüft
      8 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      8 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      3 Dateien konnten nicht durchsucht werden
 588360 Dateien ohne Befall
  14241 Archive wurden durchsucht
      7 Warnungen
      8 Hinweise
  70902 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         

Danke für deine Hilfe!

lg, irie

Alt 07.04.2009, 12:44   #30
BIOTEC
 
AntiVir meldet TR/Crypt.XDR.Gen' in  'C:\WINDOWS\system32\drivers\amd64si.sys' - Standard

AntiVir meldet TR/Crypt.XDR.Gen' in 'C:\WINDOWS\system32\drivers\amd64si.sys'



JAP.....sowas machen Trojaner....am besten gehste nur noch zu Trojaner Board und nicht mehr lange im Netz bleiben....sonst lädt die sau immer mehr, was dann auch wieder Sachen nachlädt....

Und hör auf das was CHRIS sagt.....^^

Hoffendlich bekommt ihr das hin....

Gruss BIOTEC

Antwort

Themen zu AntiVir meldet TR/Crypt.XDR.Gen' in 'C:\WINDOWS\system32\drivers\amd64si.sys'
antivir, antivir meldet, avira, bho, canon, controlcenter, einstellungen, excel, fehler, firefox, google, hijack, hijack this, hijackthis, hkus\s-1-5-18, immer wieder, internet, internet explorer, logfile, mozilla, plug-in, programm, rundll, scan, software, studio, system, tr/crypt.xdr.gen, trojaner, windows, windows xp, wlan




Ähnliche Themen: AntiVir meldet TR/Crypt.XDR.Gen' in 'C:\WINDOWS\system32\drivers\amd64si.sys'


  1. Avira meldet TR/Rootkit.Gen in C:windows/system32/drivers....was ist zu tun?
    Plagegeister aller Art und deren Bekämpfung - 19.07.2014 (22)
  2. Antivir meldet TR/Crypt.XPACK.Gen2 in C:\WINDOWS\system32\dwwin.exe
    Plagegeister aller Art und deren Bekämpfung - 25.08.2013 (8)
  3. C:\Windows\System32\Drivers\spxi.sys
    Plagegeister aller Art und deren Bekämpfung - 18.06.2012 (2)
  4. Rootkit C:\windows\system32\drivers\volmgr.sys
    Plagegeister aller Art und deren Bekämpfung - 01.02.2011 (8)
  5. Antivir Meldung C\windows\system32\wmhtll32.dll ist TR/Crypt.XPack.GEN
    Plagegeister aller Art und deren Bekämpfung - 09.11.2010 (8)
  6. Antivir meldet C:\Windows\temp\xxxx.tmp (TR/Crypt.ZPACK.Gen) alle paar Minuten
    Plagegeister aller Art und deren Bekämpfung - 10.10.2010 (4)
  7. TR/Crypt.ZPACK.Gen in C:\WINDOWS\system32\drivers\gyhmiej.sys und TR/Autorun.AJH bzw .INF.184
    Plagegeister aller Art und deren Bekämpfung - 21.08.2010 (25)
  8. Datei aus windows/system32/drivers entfernen
    Plagegeister aller Art und deren Bekämpfung - 12.07.2010 (21)
  9. TR/Crypt.ZPACK.Gen - in system32/drivers
    Plagegeister aller Art und deren Bekämpfung - 23.06.2010 (3)
  10. TR/Crypt.ZPACK.Gen in C:\WINDOWS\system32\drivers\dbjrhi.sys
    Plagegeister aller Art und deren Bekämpfung - 22.06.2010 (12)
  11. Antivir findet Trojaner: "TR/Crypt.ZPACK.Gen in C:\WINDOWS\system32\drivers\vevemzh.sys
    Plagegeister aller Art und deren Bekämpfung - 19.06.2010 (7)
  12. TR/Rootkit.Gen in C:\WINDOWS\system32\drivers\herbh.sys
    Plagegeister aller Art und deren Bekämpfung - 01.06.2010 (16)
  13. Antivir meldet TR/Crypt.ZPACK.Gen in C/Windows/Temp/xxxx.tmp/svchost.exe
    Plagegeister aller Art und deren Bekämpfung - 26.04.2010 (2)
  14. Antivir meldet TR/Crypt.ZPACK.Gen in C/Windows/Temp/xxxx.tmp/svchost.exe
    Plagegeister aller Art und deren Bekämpfung - 24.04.2010 (4)
  15. TR/Agent.ruo in C:\WINDOWS\system32\drivers\ntnvf.sys
    Plagegeister aller Art und deren Bekämpfung - 09.04.2010 (8)
  16. Antivir meldet TR/Dropper.Gen in C:\WINDOWS\system32\ACF7EF\74BE16.EXE
    Plagegeister aller Art und deren Bekämpfung - 16.01.2010 (3)
  17. Antivir meldet C:\Windows\temp\xxxx.tmp (TR/Crypt.ZPACK.Gen) alle 10 Minuten
    Plagegeister aller Art und deren Bekämpfung - 04.11.2009 (6)

Zum Thema AntiVir meldet TR/Crypt.XDR.Gen' in 'C:\WINDOWS\system32\drivers\amd64si.sys' - so okay nun der link zum log von random's system information tool: http://www.file-upload.net/download-1570787/log.txt.html hoffe, das hat geklappt. lg, irie - AntiVir meldet TR/Crypt.XDR.Gen' in 'C:\WINDOWS\system32\drivers\amd64si.sys'...
Archiv
Du betrachtest: AntiVir meldet TR/Crypt.XDR.Gen' in 'C:\WINDOWS\system32\drivers\amd64si.sys' auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.