hoi all an alle fleissigen helfer und experten hier
hab vor kurzem wohl nen
TR/Crypt.ZPACK.Gen eingefangen der irgendeine Variante von TR/
AGENT oder so nachgeladen hat.
Bedauerlicherweise hab ich teils chaotisch panisch reagiert: Avira (da noch in veralteter Version) kam mit 4 Fehlermeldung (2x TR/Crypt.ZPACK.Gen, 2x besagte Agent variante) innerhalb 20sec beim surfen die alle im TEMP lagen. Während ich mich noch wunder macht es ZAP,
Bildschirm schwarz und
die kiste restartet von selber. Hab direkt das Netzkabel gezogen (soweit ja net falsch), dann manuell C\Win..user\Temp inhalt gelöscht (im nachhinein etwas naiv zu glauben damit wärs getan nachdem er schon selber neustartet...), und wollte dann direkt ab in den Abgesicherten Modus um dort zu retten was zu retten ist, ... aber leider schon alles zu spät, bei der Auswahl zw Abgeischertem Modus und normal start ging nix mehr von wegen Abgesicherten Modus wählen - oh und der Asuwahlbildschirm kam auch iwie net bei
F8 -da kamen bootdevices,
sondern bei F5 - kann aber auch am Ami Bios liegen des is net mein Rechner und ich bin AWARD gewöhnt...(zum thema abges.mod und tastatur, ja es ist ne usb tastatur, aber ich meine mich zu erinnern dass es sonst gefunzt hat...)
Ich hab dann erstmal Avira ohne abgesicherten modus deinstalliert da ich dem ding nicht mehr getraut hab denn den
guard.exe hatte es seit dem ereignis auch gleich
terminiert und testweise nen
wiederherstellungspunkt von vor 2 tagen geladen. nachdem danach abgesicherter modus immer noch nicht auswählbar war und der guard immer noch weg...
Ab hier ha ichs dann ernster genommen und erstmal gegoogelt und gelesen...
gefunden hab ich diesen thread:
an dem ich versucht habe mich zu orientieren.
Ich hab dann erstmal Avira ohne abgesicherten modus neuinstalliert (vom usbstick aus, der usbstick kommt jetz erstmal an nix andres als an die verseuchte kiste ran)
Gefunden hat er danach, in der aktuellen neuinstallierten, upgedateteten Version, und mit den Einstellungen wie hier ( http://www.paules-pc-forum.de/forum/4-pc-sicherheit/112535-avira-antivir-anleitung-zur-einrichtung.html) beschrieben gesetzt, folgendes:
Zitat:
idiotischerweise hab ich es nun zu gut gemeint und protokollierung stand auf mittel - das hier ist ein auszug anfang /ende aus den 100 seiten oder so... :/ falls hier was wichtiges fehlt kann ich das ergänzen ggf.:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 17. Juli 2009 20:38
Es wird nach 1548239 Virenstämmen gesucht.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : HAEGI
Versionsinformationen:
BUILD.DAT : 9.0.0.403 17961 Bytes 03.06.2009 17:00:00
AVSCAN.EXE : 9.0.3.6 466689 Bytes 11.05.2009 08:14:44
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 18:29:49
ANTIVIR2.VDF : 7.1.4.221 1273856 Bytes 12.07.2009 18:29:53
ANTIVIR3.VDF : 7.1.4.252 445440 Bytes 17.07.2009 18:29:55
Engineversion : 8.2.0.222
AEVDF.DLL : 8.1.1.1 106868 Bytes 30.04.2009 10:52:04
AESCRIPT.DLL : 8.1.2.18 442746 Bytes 17.07.2009 18:30:00
AESCN.DLL : 8.1.2.3 127347 Bytes 14.05.2009 10:02:01
AERDL.DLL : 8.1.2.4 430452 Bytes 17.07.2009 18:30:00
AEPACK.DLL : 8.1.3.18 401783 Bytes 27.05.2009 15:07:20
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 17.07.2009 18:29:59
AEHEUR.DLL : 8.1.0.143 1864055 Bytes 17.07.2009 18:29:59
AEHELP.DLL : 8.1.4.5 229748 Bytes 17.07.2009 18:29:56
AEGEN.DLL : 8.1.1.48 348532 Bytes 17.07.2009 18:29:56
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40
AECORE.DLL : 8.1.7.5 180597 Bytes 17.07.2009 18:29:55
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 09:13:12
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: mittel
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, F:, G:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+JOKE,+PCK,+SPR,
Beginn des Suchlaufs: Freitag, 17. Juli 2009 20:38
Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '29379' Objekte überprüft, '0' versteckte Objekte wurden gefunden.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'devldr32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UpdateCenterService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '25' Prozesse mit '25' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[INFO] Es wurde kein Virus gefunden!
*gekürzt*
Beginne mit der Desinfektion:
C:\System Volume Information\_restore{5D3F2B03-E755-480F-99C3-B1A98CE38AD5}\RP593\
C:\System Volume Information\_restore{5D3F2B03-E755-480F-99C3-B1A98CE38AD5}\RP593\A0151604.sys
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a91cd22.qua' verschoben!
C:\System Volume Information\_restore{5D3F2B03-E755-480F-99C3-B1A98CE38AD5}\RP593\
C:\System Volume Information\_restore{5D3F2B03-E755-480F-99C3-B1A98CE38AD5}\RP593\A0151605.sys
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a91cd23.qua' verschoben!
Ende des Suchlaufs: Freitag, 17. Juli 2009 21:11
Benötigte Zeit: 33:03 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
5872 Verzeichnisse wurden überprüft
153597 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
31 Dateien konnten nicht durchsucht werden
153564 Dateien ohne Befall
1476 Archive wurden durchsucht
40 Warnungen
61 Hinweise
29379 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
|
von dem TR / Agent den die alte Avira kurz vorm bösartigen Reboot gefunden hatte keine Spur mehr, die alten LOGs sind dank meines chaos leider weg.
Dann hab ich
CCleaner drüberlaufen lassen entsprechend der Anleitung. Das ging bis auf einen Registry eintrag gut. Dieser lässt sich auch bei 10x suchen/beheben nicht loswerden. manuelles Regedit brachte "schlüssel kann nicht gelöscht werden, fehler beim löschen des Schlüssels" zu tage. Im
CCleaner folgendermaßen angezeigt:
Zitat:
|
Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}
|
Dann hab ich, entsprechend obigen threads erst
GMER entsprechend anleitung drüberlaufen lassen bevor ich mit
Malwarebytes und
RSIT angefangen habe, das war nen Fehler meinerseits hab mich bei der Reihenfolge verlesen, falls das Probs macht müsst ihr mir sagen ab wo ich wieder anfangen muss:
Zitat:
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-07-17 21:29:35
Windows 5.1.2600 Service Pack 2
---- System - GMER 1.0.14 ----
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateKey [0xF84F12A8]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateValueKey [0xF84FC910]
---- Devices - GMER 1.0.14 ----
Device \FileSystem\Ntfs \Ntfs 8238D478
AttachedDevice \FileSystem\Ntfs \Ntfs sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider)
---- Modules - GMER 1.0.14 ----
Module _________ F8452000-F846A000 (98304 bytes)
---- EOF - GMER 1.0.14 ----
|
Malwarebytes und
RSIT folgen gleich, nehme mal an die logfiles gehen eh nicht alle in einen einzelpost also stell ichs schonmal rein.
Im voraus danke, falls ich was am prozedere noch falsch hab dass Euch das helfen erschwert bitte sagen.
greetz & thx, haegz
edit: 0o hui
Malwarebytes braucht ja nen bissl länger .... *wart* naja immerhin issa jetz auf D:\ und hat bis jetz noch nix gefunden ...
17.07.2009, 21:11
Baum-Darstellung