|
Log-Analyse und Auswertung: AntiVir meldet TR/Crypt.XDR.Gen' in 'C:\WINDOWS\system32\drivers\amd64si.sys'Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
06.04.2009, 15:07 | #16 |
| AntiVir meldet TR/Crypt.XDR.Gen' in 'C:\WINDOWS\system32\drivers\amd64si.sys' so okay nun der link zum log von random's system information tool: http://www.file-upload.net/download-1570787/log.txt.html hoffe, das hat geklappt. lg, irie |
06.04.2009, 15:10 | #17 |
| AntiVir meldet TR/Crypt.XDR.Gen' in 'C:\WINDOWS\system32\drivers\amd64si.sys' so und nun zum letzten: was ist die bootplatte? die mit windows drauf und nicht die recovery, oder? ich frag lieber nochmal!
__________________lg, irie |
06.04.2009, 15:30 | #18 |
| AntiVir meldet TR/Crypt.XDR.Gen' in 'C:\WINDOWS\system32\drivers\amd64si.sys' habe hier folgendes problem: hab die mbr.exe unter C:\ gepackt. wäre der pfad ja dann also C:\mbr. wenn ich start --> ausführen --> cmd eingebe, kommt aber immer sofort C:\Dokumente und Einstellungen\HP-Besitzer...kann da nix verändern. Soll ich die mbr.exe dann in diesen ordner verschieben?
__________________fragen über fragen...sorry. lg, irie |
06.04.2009, 15:43 | #19 | ||
| AntiVir meldet TR/Crypt.XDR.Gen' in 'C:\WINDOWS\system32\drivers\amd64si.sys' Hi, die mit Windows drauf.... Noch zwei Sachen: ......RegisterySearch: Download Registry Search by Bobbi Flekman <http://virus-protect.org/artikel/tools/regsearch.html> und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) Zitat:
Notepad wird sich oeffnen - poste den text Danach bitte noch nach: Zitat:
Online bitte prüfen (virustotal): C:\WINDOWS\system32\DRIVERS\NMnt.sys chris Ps.: Wenn Du die commandline öffnest (cmd.exe), dann kannst Du durch die Eingabe von cd \Pfad_wo_ich_hinmöchte das Verzeichnis wechseln (CD=change Directory) In Deinem Fall würde ein C:\ genügen um auf C.\ zu kommen
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
06.04.2009, 15:54 | #20 |
| AntiVir meldet TR/Crypt.XDR.Gen' in 'C:\WINDOWS\system32\drivers\amd64si.sys' hier schon mal die ergebnisse von registry search zu nm.sys Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.6.0 ; Results at 06.04.2009 16:49:13 for strings: ; 'nm.sys ' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... Hier die Ergebnisse zu NMnt.sys: Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.6.0 ; Results at 06.04.2009 16:53:07 for strings: ; 'nmnt.sys' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\nm] ; Contents of value: ; system32\DRIVERS\NMnt.sys "ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 52,00,49,00,56,00,45,00,52,00,53,00,5c,00,4e,00,4d,00,6e,00,74,00,2e,00,73,\ 00,79,00,73,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\nm] ; Contents of value: ; system32\DRIVERS\NMnt.sys "ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 52,00,49,00,56,00,45,00,52,00,53,00,5c,00,4e,00,4d,00,6e,00,74,00,2e,00,73,\ 00,79,00,73,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nm] ; Contents of value: ; system32\DRIVERS\NMnt.sys "ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 52,00,49,00,56,00,45,00,52,00,53,00,5c,00,4e,00,4d,00,6e,00,74,00,2e,00,73,\ 00,79,00,73,00,00,00 ; End Of The Log... |
06.04.2009, 16:06 | #21 |
| AntiVir meldet TR/Crypt.XDR.Gen' in 'C:\WINDOWS\system32\drivers\amd64si.sys' Hi, hast Du oben die Anweisung im vorangegangen Post gesehen, wie Du in der CMD das Verzeichnis wechseln kannst? Bin jetzt weg, morgen wieder erreichbar... chris
__________________ --> AntiVir meldet TR/Crypt.XDR.Gen' in 'C:\WINDOWS\system32\drivers\amd64si.sys' |
06.04.2009, 16:15 | #22 |
| AntiVir meldet TR/Crypt.XDR.Gen' in 'C:\WINDOWS\system32\drivers\amd64si.sys' Hier die Ergebnisse (hab auf Permalink geklickt und dann kam folgendes): Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.04.06 - AhnLab-V3 5.0.0.2 2009.04.06 - AntiVir 7.9.0.138 2009.04.06 - Antiy-AVL 2.0.3.1 2009.04.06 - Authentium 5.1.2.4 2009.04.05 - Avast 4.8.1335.0 2009.04.06 - AVG 8.5.0.285 2009.04.06 - BitDefender 7.2 2009.04.06 - CAT-QuickHeal 10.00 2009.04.06 - ClamAV 0.94.1 2009.04.06 - Comodo 1101 2009.04.06 - DrWeb 4.44.0.09170 2009.04.06 - eSafe 7.0.17.0 2009.04.06 - eTrust-Vet 31.6.6435 2009.04.03 - F-Prot 4.4.4.56 2009.04.05 - F-Secure 8.0.14470.0 2009.04.06 - Fortinet 3.117.0.0 2009.04.06 - GData 19 2009.04.06 - Ikarus T3.1.1.49.0 2009.04.06 - K7AntiVirus 7.10.694 2009.04.06 - Kaspersky 7.0.0.125 2009.04.06 - McAfee 5575 2009.04.05 - McAfee+Artemis 5575 2009.04.05 - McAfee-GW-Edition 6.7.6 2009.04.06 - Microsoft 1.4502 2009.04.06 - NOD32 3989 2009.04.06 - Norman 6.00.06 2009.04.06 - nProtect 2009.1.8.0 2009.04.06 - Panda 10.0.0.14 2009.04.05 - PCTools 4.4.2.0 2009.04.06 - Prevx1 V2 2009.04.06 - Rising 21.23.41.00 2009.04.03 - Sophos 4.40.0 2009.04.06 - Sunbelt 3.2.1858.2 2009.04.04 - Symantec 1.4.4.12 2009.04.06 - TheHacker 6.3.4.0.302 2009.04.06 - TrendMicro 8.700.0.1004 2009.04.06 - VBA32 3.12.10.2 2009.04.06 - ViRobot 2009.4.6.1680 2009.04.06 - VirusBuster 4.6.5.0 2009.04.05 - weitere Informationen File size: 40320 bytes MD5...: 1e421a6bcf2203cc61b821ada9de878b SHA1..: 827c14898fab0cdbfb4efa11cb15900534c2c7b4 SHA256: c658f1d5dce7525cf929c65c46ab2881c99d89bf8f0f61c1d440c9d9bfb2f89f SHA512: bb424f813ef1643eaa7096be9efcbf64d094fc66ce40a48020b64660af031941 06aaf331a73b067134b5ac9eecbc1865330c1c67974bba7e2cfa3aa1d94b1f01 ssdeep: 768:zV0A/zwUcOklfxDppd4o2g7whSoOZiY1MRE+h2Uzcy+ZK:zV08qOklfx/d4h g7whGijR9p5 PEiD..: - TrID..: File type identification Win32 Executable Generic (68.0%) Generic Win/DOS Executable (15.9%) DOS Executable Generic (15.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x8983 timedatestamp.....: 0x48025692 (Sun Apr 13 18:53:06 2008) machinetype.......: 0x14c (I386) ( 7 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x300 0x63bc 0x6400 6.36 58fc79ddb5dfc7909d685fe899f9bf63 .rdata 0x6700 0x224 0x280 3.23 5332f9b33393b2f710be6cc487ecc793 .data 0x6980 0x1c0 0x200 1.39 6935d7c9d77abe8312f1fdcc300e957c PAGE 0x6b80 0x1bbb 0x1c00 5.92 918478f26bc733624e7b5884e6ef26d5 INIT 0x8780 0xb46 0xb80 5.67 9dd339a67fc0ea6400c34b30f6c39b19 .rsrc 0x9300 0x3d8 0x400 3.32 1939d0e2d79884725dc05af3c982e711 .reloc 0x9700 0x618 0x680 5.73 1c0a4115a4989fe4983099078ff3ad0a ( 4 imports ) > ntoskrnl.exe: ZwSetValueKey, RtlEqualUnicodeString, RtlUnicodeStringToAnsiString, RtlInitAnsiString, ZwCreateKey, ExInterlockedFlushSList, MmMapLockedPagesSpecifyCache, IofCompleteRequest, IoWriteErrorLogEntry, IoAllocateErrorLogEntry, wcslen, KeQuerySystemTime, KeNumberProcessors, KeQueryInterruptTime, RtlCompareMemory, KefReleaseSpinLockFromDpcLevel, KefAcquireSpinLockAtDpcLevel, memmove, ZwQueryValueKey, KeResetEvent, KeWaitForSingleObject, KeInitializeEvent, KeSetEvent, ExfInterlockedRemoveHeadList, IoFreeMdl, InterlockedPopEntrySList, InterlockedPushEntrySList, MmMapLockedPages, KeCancelTimer, KeInitializeTimer, KeInitializeDpc, KeSetTimer, ExInterlockedAddLargeStatistic, KeTickCount, KeQueryTimeIncrement, KeBugCheckEx, RtlQueryRegistryValues, ZwClose, RtlInitUnicodeString, ZwOpenKey, IoGetCurrentProcess, ExAcquireResourceExclusiveLite, IoSetShareAccess, SeAssignSecurity, IoRemoveShareAccess, ExReleaseResourceLite, ExQueueWorkItem, SeDeassignSecurity, _except_handler3, ExFreePoolWithTag, ExfInterlockedPopEntryList, ExAllocatePoolWithTag, ExfInterlockedPushEntryList, IoAcquireCancelSpinLock, IoReleaseCancelSpinLock, ExDeleteResourceLite, IoDeleteDevice, IoCreateDevice, KeInitializeSpinLock, _alldiv, ExInitializeResourceLite > HAL.dll: KfReleaseSpinLock, KfLowerIrql, KfRaiseIrql, KfAcquireSpinLock > NDIS.SYS: NdisCopyBuffer, NdisCompletePnPEvent, NdisRegisterProtocol, NdisUnchainBufferAtFront, NdisFreePacket, NdisCloseAdapter, NdisCopyFromPacketToPacket, NdisAllocatePacketPoolEx, NdisSetPacketPoolProtocolId, NdisAllocateBufferPool, NdisRequest, NdisDeregisterProtocol, NdisFreePacketPool, NdisFreeBufferPool, NdisAllocateBuffer, NdisAllocatePacket, NdisOpenAdapter > TDI.SYS: TdiCopyBufferToMdl ( 0 exports ) RDS...: NSRL Reference Data Set - packers (Kaspersky): PE_Patch Hab deine Anweisungen zu cmd gelesen, aber leider komm ich da trotzdem nicht weiter. Nach der Eingabe von ausführen --> cmd kommt dann der schwarze kasten und da steht dann voreingestellt C:\Dokumente und Einstellungen\Hp_Besitzer\...was soll ich dann daran direkt anhängen? |
06.04.2009, 19:39 | #23 |
| AntiVir meldet TR/Crypt.XDR.Gen' in 'C:\WINDOWS\system32\drivers\amd64si.sys' Hi, einfach in den "Kasten" bitte cd \ und dann Datenfreigabe eingeben... Die Commandline wechselt dann in das Root-Verzeichnis von C, dort wo Du auch MBR.EXE abgelegt hast, dann sollte das mit dem Aufruf klappen... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
06.04.2009, 20:30 | #24 |
| AntiVir meldet TR/Crypt.XDR.Gen' in 'C:\WINDOWS\system32\drivers\amd64si.sys' hey, also die eingabe hat jetzt endlich geklappt hatte ständig den doppelpunkt mit eingegeben nach cd. so und die reportdatei sieht so aus: Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK alles richtig gemacht? lg, irie |
07.04.2009, 07:36 | #25 |
| AntiVir meldet TR/Crypt.XDR.Gen' in 'C:\WINDOWS\system32\drivers\amd64si.sys' Hi, ja, ist OK... Damit finde ich anhand der Logs nichts mehr... Was treibt der Rechnerß Chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
07.04.2009, 08:36 | #26 |
| AntiVir meldet TR/Crypt.XDR.Gen' in 'C:\WINDOWS\system32\drivers\amd64si.sys' Hey, hab den Rechner gerade hoch gefahren. Geht alles recht langsam. Also der schnellste war der eh nicht mehr, aber erscheint mir langsamer als sonst. Soll ich AntiVir nochmal durchlaufen lassen? Im Moment kommt sonst keine Warnung/ kein Fund, aber die kamen meist erst, wenn der Rechner ne kurze Zeit an war. Ähm und die ganzen Sachen, die ich nun in Quarantäne hab: Kann ich dir irgendwie sicher löschen oder müssen die nun ewig da drin bleiben? Will die irgendwie da raus haben lg, irie |
07.04.2009, 09:21 | #27 |
| AntiVir meldet TR/Crypt.XDR.Gen' in 'C:\WINDOWS\system32\drivers\amd64si.sys' Hey, also ich bin jetzt gerade dabei, AntiVir nochmal durchlaufen zu lassen. Kann jetzt schon mal sagen, dass AntiVir den Tr/Drop.Agent.qkm gefunden hat an zwei oder drei Stellen. Immer jedoch auf der Seite mit eingeschränktem Benutzerkonto. Darüber gehen meine Eltern immer ins Netz. Über TR/Crypt.XDR.Gen kam aber noch nix. Werde den report später posten. lg, irie |
07.04.2009, 09:55 | #28 |
| AntiVir meldet TR/Crypt.XDR.Gen' in 'C:\WINDOWS\system32\drivers\amd64si.sys' Hallo, unbedingt die Funde posten, war das eingeschränkte Konte inzwischen aktiv (wurde es genutzt)? chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
07.04.2009, 10:28 | #29 |
| AntiVir meldet TR/Crypt.XDR.Gen' in 'C:\WINDOWS\system32\drivers\amd64si.sys' Hey, ja soweit ich weiß, war mein Dad gestern dadrauf. Ich hab auch das Gefühl, dass die sich sofort vermehren, wenn ich die einen TR in die Quarantäne packe. Die wird immer voller. Die einen sind weg und irgendwie generieren sich dann gleich neue. Hier der report von antivir: Code:
ATTFilter Avira AntiVir Personal Erstellungsdatum der Reportdatei: Dienstag, 7. April 2009 09:57 Es wird nach 1342678 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 3) [5.1.2600] Boot Modus: Normal gebootet Benutzername: SYSTEM Computername: DIETER Versionsinformationen: BUILD.DAT : 8.2.0.347 16934 Bytes 16.03.2009 14:45:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 27.11.2008 19:01:58 AVSCAN.DLL : 8.1.4.0 48897 Bytes 18.07.2008 11:12:32 LUKE.DLL : 8.1.4.5 164097 Bytes 18.07.2008 11:12:32 LUKERES.DLL : 8.1.4.0 12545 Bytes 18.07.2008 11:12:32 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 16:41:22 ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 22:09:08 ANTIVIR2.VDF : 7.1.3.0 1330176 Bytes 01.04.2009 07:51:22 ANTIVIR3.VDF : 7.1.3.22 105984 Bytes 07.04.2009 07:29:53 Engineversion : 8.2.0.138 AEVDF.DLL : 8.1.1.0 106868 Bytes 31.01.2009 11:26:58 AESCRIPT.DLL : 8.1.1.73 373114 Bytes 04.04.2009 09:05:39 AESCN.DLL : 8.1.1.10 127348 Bytes 04.04.2009 09:05:38 AERDL.DLL : 8.1.1.3 438645 Bytes 07.11.2008 22:51:55 AEPACK.DLL : 8.1.3.12 397687 Bytes 04.04.2009 09:05:38 AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26.02.2009 22:52:29 AEHEUR.DLL : 8.1.0.114 1700214 Bytes 04.04.2009 09:05:37 AEHELP.DLL : 8.1.2.2 119158 Bytes 26.02.2009 22:52:25 AEGEN.DLL : 8.1.1.33 340340 Bytes 04.04.2009 09:05:33 AEEMU.DLL : 8.1.0.9 393588 Bytes 19.10.2008 20:32:38 AECORE.DLL : 8.1.6.7 176502 Bytes 04.04.2009 09:05:32 AEBB.DLL : 8.1.0.3 53618 Bytes 19.10.2008 20:32:35 AVWINLL.DLL : 1.0.0.12 15105 Bytes 18.07.2008 11:12:32 AVPREF.DLL : 8.0.2.0 38657 Bytes 18.07.2008 11:12:32 AVREP.DLL : 8.0.0.2 98344 Bytes 04.08.2008 08:10:04 AVREG.DLL : 8.0.0.1 33537 Bytes 18.07.2008 11:12:32 AVARKT.DLL : 1.0.0.23 307457 Bytes 20.04.2008 17:22:20 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18.07.2008 11:12:32 SQLITE3.DLL : 3.3.17.1 339968 Bytes 20.04.2008 17:22:21 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18.07.2008 11:12:32 NETNT.DLL : 8.0.0.1 7937 Bytes 20.04.2008 17:22:21 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 18.07.2008 11:12:28 RCTEXT.DLL : 8.0.52.0 86273 Bytes 18.07.2008 11:12:28 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, D:, J:, K:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: ein Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: aus Archiv Smart Extensions..........: ein Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik..............: ein Dateiheuristik...................: hoch Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Dienstag, 7. April 2009 09:57 Der Suchlauf nach versteckten Objekten wird begonnen. Es wurden '70902' Objekte überprüft, '0' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BrMfcMon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SUPERAntiSpyware.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ACDaemon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BrMfcWnd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'pptd40nt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'issch.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ToADiMon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'kbd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpsysdrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'prevx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'prevx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ACService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '41' Prozesse mit '41' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit. Masterbootsektor HD2 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit. Masterbootsektor HD3 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit. Masterbootsektor HD4 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit. Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'J:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'K:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '71' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <HP_PAVILION> C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Mum & Dad\Lokale Einstellungen\Temp\BN250B.tmp [FUND] Ist das Trojanische Pferd TR/Drop.Agent.qkm [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a0d0be4.qua' verschoben! C:\Dokumente und Einstellungen\Mum & Dad\Lokale Einstellungen\Temp\BN2513.tmp [FUND] Ist das Trojanische Pferd TR/Drop.Agent.qkm [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a0d0bee.qua' verschoben! C:\Dokumente und Einstellungen\Mum & Dad\Lokale Einstellungen\Temp\BN2607.tmp [FUND] Ist das Trojanische Pferd TR/Drop.Agent.qkm [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a0d0bf1.qua' verschoben! C:\Dokumente und Einstellungen\Mum & Dad\Lokale Einstellungen\Temp\BN2608.tmp [FUND] Ist das Trojanische Pferd TR/Drop.Agent.qkm [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a0d0bf3.qua' verschoben! C:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP803\A0129166.exe [FUND] Ist das Trojanische Pferd TR/Nomen.A [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a0c12d4.qua' verschoben! C:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP803\A0129173.sys [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a0c12d9.qua' verschoben! C:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP803\A0129174.sys [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a0c12dc.qua' verschoben! C:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP803\A0129175.sys [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a0c12de.qua' verschoben! Beginne mit der Suche in 'D:\' <HP_RECOVERY> Beginne mit der Suche in 'J:\' <Musik> Beginne mit der Suche in 'K:\' <Spiele> K:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Ende des Suchlaufs: Dienstag, 7. April 2009 11:19 Benötigte Zeit: 1:22:19 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 8985 Verzeichnisse wurden überprüft 588371 Dateien wurden geprüft 8 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 8 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 3 Dateien konnten nicht durchsucht werden 588360 Dateien ohne Befall 14241 Archive wurden durchsucht 7 Warnungen 8 Hinweise 70902 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden Danke für deine Hilfe! lg, irie |
07.04.2009, 12:44 | #30 |
| AntiVir meldet TR/Crypt.XDR.Gen' in 'C:\WINDOWS\system32\drivers\amd64si.sys' JAP.....sowas machen Trojaner....am besten gehste nur noch zu Trojaner Board und nicht mehr lange im Netz bleiben....sonst lädt die sau immer mehr, was dann auch wieder Sachen nachlädt.... Und hör auf das was CHRIS sagt.....^^ Hoffendlich bekommt ihr das hin.... Gruss BIOTEC |
Themen zu AntiVir meldet TR/Crypt.XDR.Gen' in 'C:\WINDOWS\system32\drivers\amd64si.sys' |
antivir, antivir meldet, avira, bho, canon, controlcenter, einstellungen, excel, fehler, firefox, google, hijack, hijack this, hijackthis, hkus\s-1-5-18, immer wieder, internet, internet explorer, logfile, mozilla, plug-in, programm, rundll, scan, software, studio, system, tr/crypt.xdr.gen, trojaner, windows, windows xp, wlan |