| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Crypt.ZPACK.Gen und TR/Trash.gen bin ich "Clean"?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
15.09.2009, 16:41
| #1 |
 |  TR/Crypt.ZPACK.Gen und TR/Trash.gen bin ich "Clean"? Hallo Ich hatte schon einmal gepostet und da ich (leider) keine Antwort bekam hab ich selbst ein wenig herumprobiert. Das Problem mit den Umleitungen auf FF und IE hat sich wieder eingekriegt bisher kam es zu keiner neuen Umleitung. Ich hab aber keine Ahnung ob ich nun "clean" bin oder nicht deswegen poste ich nochmal neu mein HJT und Malewarebytes etc. Ich hab zwischenzeitlich auch geputzt und aufgeräumt - und dabei m.E unnötige Programme gelöscht. Mein Avira zeigt mir nach wie vor 4 Viren an TR/Trash.Gen in vier verschiedenen "Varianten". Meldungen kommen nur noch die zwei die immer kommen (poste auch das Log mal) Also hier nun das HJT-LOG Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:18:05, on 15.09.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe C:\Programme\System Control Manager\MSIService.exe C:\WINDOWS\system32\PSIService.exe C:\Programme\Cyberlink\Shared files\RichVideo.exe C:\WINDOWS\system32\svchost.exe C:\PROGRA~1\AVG\AVG8\avgrsx.exe C:\PROGRA~1\AVG\AVG8\avgnsx.exe C:\PROGRA~1\AVG\AVG8\avgemc.exe C:\Programme\AVG\AVG8\avgcsrvx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxsrvc.exe C:\WINDOWS\system32\igfxpers.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\System Control Manager\MGSysCtrl.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\tuloxFreeWBF\FreeDict.exe C:\Programme\tuloxFreeWBE\FreeDict.exe C:\Programme\Winamp\winampa.exe C:\PROGRA~1\AVG\AVG8\avgtray.exe C:\WINDOWS\system32\wbem\unsecapp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\CounterPath\X-Lite\x-lite.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programme\Google\Chrome\Application\chrome.exe C:\Programme\Google\Chrome\Application\chrome.exe C:\Programme\Avira\AntiVir Desktop\avscan.exe C:\Programme\Skype\Phone\Skype.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Google\Chrome\Application\chrome.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.msn.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - (no file) O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll O2 - BHO: MSN Toolbar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Programme\MSN\Toolbar\3.0.1203.0\msneshellx.dll O2 - BHO: Search Assistant - {F0626A63-410B-45E2-99A1-3F2475B2D695} - (no file) O2 - BHO: XBTBPos00 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - (no file) O3 - Toolbar: MSN Toolbar - {1E61ED7C-7CB8-49d6-B9E9-AB4C880C8414} - C:\Programme\MSN\Toolbar\3.0.1203.0\msneshellx.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [MGSysCtrl] C:\Programme\System Control Manager\MGSysCtrl.exe O4 - HKLM\..\Run: [UCam_Menu] "C:\Programme\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Programme\HomeCinema\YouCam" update "Software\CyberLink\YouCam\1.0" O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Programme\WordPerfect Office X3\Programs\QFSCHD130.EXE" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm O8 - Extra context menu item: Translate with Babylon - res://C:\Programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm O8 - Extra context menu item: Öffnen mit WordPerfect - C:\Programme\WordPerfect Office X3\Programs\WPLauncher.hta O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing) O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing) O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll (file missing) O9 - Extra 'Tools' menuitem: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing) (HKCU) O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing) (HKCU) O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1222320483265 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1222329354093 O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab O16 - DPF: {9C23D886-43CB-43DE-B2DB-112A68D7E10A} (MySpace Uploader Control) - http://lads.myspace.com/upload/MySpaceUploader2.cab O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe O23 - Service: Google Update Service (gupdate1c9ed29e79a83b8) (gupdate1c9ed29e79a83b8) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Micro Star SCM - Unknown owner - C:\Programme\System Control Manager\MSIService.exe O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 10340 bytes Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 15. September 2009 15:38
Es wird nach 1711299 Virenstämmen gesucht.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : DOOFTIER
Versionsinformationen:
BUILD.DAT : 9.0.0.408 17961 Bytes 26.08.2009 16:46:00
AVSCAN.EXE : 9.0.3.7 466689 Bytes 05.08.2009 19:39:23
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 09:46:12
ANTIVIR2.VDF : 7.1.5.201 3414528 Bytes 03.09.2009 16:06:11
ANTIVIR3.VDF : 7.1.5.244 405504 Bytes 15.09.2009 09:56:46
Engineversion : 8.2.1.14
AEVDF.DLL : 8.1.1.1 106868 Bytes 14.06.2009 07:08:04
AESCRIPT.DLL : 8.1.2.31 475513 Bytes 10.09.2009 11:16:15
AESCN.DLL : 8.1.2.5 127346 Bytes 04.09.2009 16:06:16
AERDL.DLL : 8.1.2.4 430452 Bytes 15.07.2009 19:05:36
AEPACK.DLL : 8.1.3.18 401783 Bytes 14.06.2009 07:08:04
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 17.06.2009 22:19:29
AEHEUR.DLL : 8.1.0.155 1921400 Bytes 18.08.2009 21:39:49
AEHELP.DLL : 8.1.7.0 237940 Bytes 04.09.2009 16:06:15
AEGEN.DLL : 8.1.1.62 364916 Bytes 10.09.2009 11:16:15
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40
AECORE.DLL : 8.1.7.8 184692 Bytes 04.09.2009 16:06:12
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 09.09.2009 07:19:42
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 14.06.2009 07:08:04
RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 09:13:12
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,
Beginn des Suchlaufs: Dienstag, 15. September 2009 15:38
Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '44094' Objekte überprüft, '0' versteckte Objekte wurden gefunden.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SUPERAntiSpyware.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'x-lite.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FreeDict.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FreeDict.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MGSysCtrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgcsrvx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgemc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnsx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgrsx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PSIService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSIService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgwdsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '48' Prozesse mit '48' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '66' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <BOOT>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\System Volume Information\_restore{ED9671BC-723E-476C-AA45-3798C8087BE9}\RP13\A0005491.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{ED9671BC-723E-476C-AA45-3798C8087BE9}\RP14\A0005504.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{ED9671BC-723E-476C-AA45-3798C8087BE9}\RP16\A0005735.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{ED9671BC-723E-476C-AA45-3798C8087BE9}\RP16\A0005739.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
Beginne mit der Suche in 'D:\' <RECOVER>
Beginne mit der Desinfektion:
C:\System Volume Information\_restore{ED9671BC-723E-476C-AA45-3798C8087BE9}\RP13\A0005491.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4adfae93.qua' verschoben!
C:\System Volume Information\_restore{ED9671BC-723E-476C-AA45-3798C8087BE9}\RP14\A0005504.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4adfae94.qua' verschoben!
C:\System Volume Information\_restore{ED9671BC-723E-476C-AA45-3798C8087BE9}\RP16\A0005735.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4babbf9d.qua' verschoben!
C:\System Volume Information\_restore{ED9671BC-723E-476C-AA45-3798C8087BE9}\RP16\A0005739.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ba98e0d.qua' verschoben!
Ende des Suchlaufs: Dienstag, 15. September 2009 17:10
Benötigte Zeit: 1:26:33 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
6229 Verzeichnisse wurden überprüft
304985 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
304979 Dateien ohne Befall
8639 Archive wurden durchsucht
2 Warnungen
6 Hinweise
44094 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
Teil2 kommt Danke! |
|
15.09.2009, 16:55
| #2 |
| |  TR/Crypt.ZPACK.Gen und TR/Trash.gen bin ich "Clean"? RTIS -Log hab ich als TBUpload gemacht, da er für ein post zu gross war
__________________Ich hoff es hat geklappt... CC-CLeaner -Log Code:
ATTFilter 7-Zip 4.65
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 9.1.3 - Deutsch
Adobe Shockwave Player 11
Artweaver 0.5
AVG Free 8.5
Avira AntiVir Personal - Free Antivirus
Azurewave Wireless LAN
Big Pizza Mountainbike Challenge 09 (SevenOne)
CCleaner (remove only)
CEP - Color Enable Package
CyberLink YouCam
Die Sims 2
Fast Browser Search (My Web Tattoo)
Free YouTube to Mp3 Converter version 3.1
Google Chrome
Google Earth
Google SketchUp 6
Google Updater
HijackThis 2.0.2
Intel(R) Graphics Media Accelerator Driver
IrfanView (remove only)
Java(TM) 6 Update 7
Kiri Screensaver 1.0
Malwarebytes' Anti-Malware
Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 SP1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Silverlight
Microsoft SQL Server 2005 Compact Edition [DEU]
Microsoft SQL Server 2005 Compact Edition [ENU]
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Mozilla Firefox (3.5.3)
MSN
MSN Toolbar
MSXML 4.0 SP2 (KB954430)
Opera 10.00
Orangina History Screensaver
pdf24
PowerDVD
PowerISO
REALTEK GbE & FE Ethernet PCI-E NIC Driver
Realtek High Definition Audio Driver
screensaver2
screensaver3
Skype web features
Skype™ 4.1
SUPERAntiSpyware Free Edition
Synaptics Pointing Device Driver
System Control Manager
The Italian Job
tulox Freeware-Wörterbuch (Englisch)
tulox Freeware-Wörterbuch (Französisch)
TuneUp Utilities 2008
Uninstall 1.0.0.1
USB 2.0 Card Reader
VLC media player 0.9.9
Winamp
Windows Internet Explorer 8
Windows Live Anmelde-Assistent
Windows Live Essentials
Windows Live Sync
Windows Live-Uploadtool
Windows Media Format 11 runtime
Windows Media Player 11
Windows-Sicherungsprogramm
WordPerfect Office X3
X-Lite 3.0
MALEWAREBYTES -LOG (Nachtrag) Code:
ATTFilter Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2798
Windows 5.1.2600 Service Pack 3
15.09.2009 18:19:02
mbam-log-2009-09-15 (18-19-02).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|)
Durchsuchte Objekte: 146173
Laufzeit: 1 hour(s), 0 minute(s), 4 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
 Geändert von flauschfusse (15.09.2009 um 17:21 Uhr) |
|
19.09.2009, 13:21
| #3 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | TR/Crypt.ZPACK.Gen und TR/Trash.gen bin ich "Clean"? Hallo und
__________________ 1.) Mehrere Virenscanner mit Hintergrundwächter installiert man nicht, die können die Systemperformance und -sicherheit negativ beeinträchtigen. Deinstalliert also entweder AVG oder Avira! 2.) Schädlingsdateien wurdem im Ordner für die Systemwiederherstellung gefunden; Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde. 3.) Mach bitte einen neuen Durchlauf mit RSIT. Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn manche Logfiles sind fürs Board zu groß und ich kann mit einem Klick mir gleich alle auf einmal runterladen.
__________________ |
|
20.09.2009, 18:28
| #4 |
| |  TR/Crypt.ZPACK.Gen und TR/Trash.gen bin ich "Clean"? hallo cosinus hier noch mal das RSIT log. das zweite antivirenprogramm hatte ich drauf weil ich damit drüberscannen wollte... hab es aber natürlich schon wieder runtergeworfen. das einzige was Avira mir nun noch anzeugt ist ein Heur/Crypt in auto....ddl, ich kann es aber auf dem angegebenen Pfad nicht finden auch nicht unter den versteckten... Danke schon mal im voraus Flausch Hier das LOG: http://www.file-upload.net/download-1900826/log.txt.html |
|
21.09.2009, 09:27
| #5 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | TR/Crypt.ZPACK.Gen und TR/Trash.gen bin ich "Clean"? Bitte mal den Avenger anwenden Vorbereitungen: a) Deaktiviere den Hintergrundwächter vom Virenscanner. b) Stöpsele alle externen Datenträger vom Rechner ab. Danach: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus. Die Haken unten wie abgebildet setzen:  3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code:
ATTFilter files to delete:
C:\WINDOWS\system32\drivers\lkbabbhvdipy.sys
drivers to delete:
eiiie
5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
21.09.2009, 09:51
| #6 |
| | TR/Crypt.ZPACK.Gen und TR/Trash.gen bin ich "Clean"? Guten morgen Arne Habe den Avenger nach deiner Anleitung ausgeführt,. Hier das dazugehörige LOG Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Error: file "C:\WINDOWS\system32\drivers\lkbabbhvdipy.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\lkbabbhvdipy.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Driver "eiiie" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
Liebe Grüsse  Flausch |
|
21.09.2009, 13:16
| #9 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | TR/Crypt.ZPACK.Gen und TR/Trash.gen bin ich "Clean"? Ja, wenn die Datei tatsächlich nicht mehr existierte, ist die Meldung vom Avenger normal und folgerichtig  Das neue Log schau ich mir gleich mal an.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
21.09.2009, 14:56
| #10 |
| | TR/Crypt.ZPACK.Gen und TR/Trash.gen bin ich "Clean"? Hey  Ich warte derweil bei  auf NeuigkeitenLG Flausch  |
|
21.09.2009, 15:35
| #11 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | TR/Crypt.ZPACK.Gen und TR/Trash.gen bin ich "Clean"? Das sieht okay aus. Gibts noch weitere Probleme? Überprüf mal bitte die Updates: Windows-/Internet Explorer Update Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Adobe Acrobat Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Wir empfehlen daher, die alte Version über Systemsteuerung => Software zu deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Starte den Rechner neu und downloade den aktuellen Acrobat-Reader herunter und installiere ihn. Falls Dir der Adobe Acrobat Reader nicht gefällt, kannst Du alternativ auch Foxit PDF Reader installieren. Er ist "schlanker" und benutzt weniger Resourcen. Java-Update Deine derzeitig installierte Version von Java ist veraltet, was ebenfalls ein großes Sicherheitsrisiko darstellt. Wir empfehlen daher, die alten Versionen zu löschen und auf die neuste zu aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
21.09.2009, 16:40
| #12 |
| |  TR/Crypt.ZPACK.Gen und TR/Trash.gen bin ich "Clean"? Hallo Dank dir  Bekomme keine Meldungen mehr bzgl. des HEUR/Crypt von avira. Alles läuft also wieder.... Hab die Updates gemacht und den AdobePDF schon vor ein paar tagen runtergeschmissen, (dachte hätte es komplett deinstalliert...) Was ist mit de Wiederherstellung? Soll ich die wieder aktivieren? kann ich den IE eigentlich komplett deinstallieren, da ich eh nur FF oder Opera nutze.... ? Danke nochmal für deine Hilfe  Grüssle Flausch  |
|
21.09.2009, 17:20
| #13 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | TR/Crypt.ZPACK.Gen und TR/Trash.gen bin ich "Clean"? 1.) Die SWH kannst Du zwar wieder anstellen, aber erwarte nicht zuviel von ihr. Ich hab die aus mehreren Gründen deaktiviert. 2.) Den IE kann man nicht deinstallieren, da er ein fester Windows-Bestandteil ist. Lass ihn einfach so, aktualisiere ihn regelmäßig, aber nutze ruhig FF und/oder Opera.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
21.09.2009, 18:26
| #14 |
| |  TR/Crypt.ZPACK.Gen und TR/Trash.gen bin ich "Clean"? Hey Okay... dann denke ich bin ich entlassen?!? Auf jeden fall danke für die Hilfe Eine letzte Frage noch warum bringt die SWH nichts? Ich hoffe wir lesen uns nicht allzuschnell in diesem Kontext wieder .... Alles Gute für Dich und liebe Grüsse  Flausch |
|
21.09.2009, 18:54
| #15 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | TR/Crypt.ZPACK.Gen und TR/Trash.gen bin ich "Clean"? Die SWH kann schonwas bringen. Beispielsweise erzeugt Windows vor dem Installieren des SP3 automatisch einen Wiederherstellungspunkt. Oder vor dem Installieren von Programmen kann ein Wiederherstellungspunkt etwas bringen. Aber bei massiveren Problemen wie Schädlingsbefall, Plattendefekt, Dateisystemfehler etc. - da hilft die SWH einfach nicht, da die Dateien auf der gleichen Festplatte (genauer gesagt gleichen Partition!) gespeichert werden. Ich lass die SWH immer deaktiviert und setze auf Systemimages. Solche Images kannst und sollst Du auch problemlos auf externen Medien wie DVD oder USB-Platten kopieren und so im Ernstfall das System wiederherstellen. Beispiele solcher Programme: Drivesnapshot, Acronis TrueImage.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu TR/Crypt.ZPACK.Gen und TR/Trash.gen bin ich "Clean"? |
| adobe, antivir, antivir guard, avg free, avira, babylon, bho, desktop, e-mail, ebay, explorer, google, gupdate, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, keine antwort, logfile, malwarebytes anti-malware, malwarebytes' anti-malware, menu.exe, nt.dll, problem, prozesse, recover, registry, software, suchlauf, superantispyware, system, tuneup.defrag, versteckte objekte, verweise, viren, virus gefunden, warnung, windows, windows xp |
Linear-Darstellung
