![]() |
|
Log-Analyse und Auswertung: 'TR/Crypt.ZPACK.Gen' in 'C:\WINDOWS\Temp\akjo.tmp'Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
![]() | #1 |
| ![]() 'TR/Crypt.ZPACK.Gen' in 'C:\WINDOWS\Temp\akjo.tmp' Hallo liebe Experten, Vor einigen Tagen konnte ich weder Internetexplorer noch Firefox öffnen, woraufhin ich eine Systemwiederherstellung durchgeführt habe, was das Problem scheinbar gelöst hat. Gestern jedoch meldete AntiVir ca. alle 5 Minuten einen Fund in 'C:\WINDOWS\Temp\xxxx.tmp' (xxxx = unterschiedliche scheinbar zufällige Buchstaben). Desweiteren öffnen sich beim anklicken von ganz normalen Links ab und zu dubiose Werbeseiten in einem neuen Fenster. Nach löschen aller Cookies etc. war AntiVir erstmal ruhig, aber ich befürchte, dass das Problem damit noch nicht gelöst ist. AntiVir-Bericht von gestern: (heutiger Scan ohne Fund) Avira AntiVir Personal Erstellungsdatum der Reportdatei: Donnerstag, 29. Oktober 2009 19:55 Es wird nach 1847397 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : J*** Versionsinformationen: BUILD.DAT : 9.0.0.410 18074 Bytes 25.09.2009 11:51:00 AVSCAN.EXE : 9.0.3.7 466689 Bytes 10.08.2009 09:49:50 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:12 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:46 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:42:00 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:38 ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 16:53:28 ANTIVIR2.VDF : 7.1.6.160 5413376 Bytes 28.10.2009 12:41:56 ANTIVIR3.VDF : 7.1.6.164 20992 Bytes 29.10.2009 12:41:58 Engineversion : 8.2.1.50 AEVDF.DLL : 8.1.1.2 106867 Bytes 16.09.2009 20:41:42 AESCRIPT.DLL : 8.1.2.40 487804 Bytes 22.10.2009 23:32:38 AESCN.DLL : 8.1.2.5 127346 Bytes 05.09.2009 00:31:56 AERDL.DLL : 8.1.3.2 479604 Bytes 04.10.2009 13:58:30 AEPACK.DLL : 8.2.0.2 422263 Bytes 22.10.2009 23:32:38 AEOFFICE.DLL : 8.1.0.38 196987 Bytes 26.06.2009 16:53:34 AEHEUR.DLL : 8.1.0.173 2064760 Bytes 29.10.2009 12:42:04 AEHELP.DLL : 8.1.7.0 237940 Bytes 05.09.2009 00:31:56 AEGEN.DLL : 8.1.1.70 364917 Bytes 29.10.2009 12:42:00 AEEMU.DLL : 8.1.1.0 393587 Bytes 04.10.2009 13:41:30 AECORE.DLL : 8.1.8.1 184693 Bytes 16.09.2009 20:41:20 AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:58 AVPREF.DLL : 9.0.3.0 44289 Bytes 08.09.2009 18:08:00 AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:30 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:06 AVARKT.DLL : 9.0.0.3 292609 Bytes 27.04.2009 13:54:54 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:06 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:50 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:30 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:22 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 09.06.2009 15:01:00 RCTEXT.DLL : 9.0.37.0 87809 Bytes 27.04.2009 13:54:54 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Beginn des Suchlaufs: Donnerstag, 29. Oktober 2009 19:55 Der Suchlauf nach versteckten Objekten wird begonnen. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kungsftvoakypa\main [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kungsftvoakypa\modules [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kungsftvoakypa\start [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kungsftvoakypa\type [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kungsftvoakypa\group [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kungsftvoakypa\imagepath [INFO] Der Registrierungseintrag ist nicht sichtbar. Es wurden '61182' Objekte überprüft, '6' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'KHALMNPR.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SetPoint.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'QtZgAcer.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'epm-dm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'atiptaxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PCMService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPLpr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ALG.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WMIAPSRV.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PnkBstrB.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'HPZipm12.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'JQS.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AVGUARD.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'anbmServ.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SCHED.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SPOOLSV.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EXPLORER.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'VSMON.EXE' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ATI2EVXX.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ATI2EVXX.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht Es wurden '39' Prozesse mit '39' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '70' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <ACER> C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\Dokumente und Einstellungen\J***\Eigene Dateien\Downloads\Graphpad.Prism.v5.rar [0] Archivtyp: RAR --> GraphpadPrism5\Patch.exe [FUND] Enthält Erkennungsmuster des Droppers DR/Agent.24300.A C:\Dokumente und Einstellungen\J***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FERK5ZON\Video%20License.v.3.Setup[1].exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen C:\System Volume Information\_restore{36E05666-9893-47E0-8BA6-20F3636B6CCD}\RP125\A0050014.exe [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen Beginne mit der Desinfektion: C:\Dokumente und Einstellungen\J***\Eigene Dateien\Downloads\Graphpad.Prism.v5.rar [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b4afbbc.qua' verschoben! C:\Dokumente und Einstellungen\J***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FERK5ZON\Video%20License.v.3.Setup[1].exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b4dfbb9.qua' verschoben! C:\System Volume Information\_restore{36E05666-9893-47E0-8BA6-20F3636B6CCD}\RP125\A0050014.exe [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b19fb81.qua' verschoben! Ende des Suchlaufs: Donnerstag, 29. Oktober 2009 21:30 Benötigte Zeit: 1:34:28 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 7032 Verzeichnisse wurden überprüft 341202 Dateien wurden geprüft 3 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 3 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 341197 Dateien ohne Befall 7696 Archive wurden durchsucht 2 Warnungen 5 Hinweise 61182 Objekte wurden beim Rootkitscan durchsucht 6 Versteckte Objekte wurden gefunden 2 Malwarebytes-Berichte von gestern (1xQuickscan) (erneuter vollständiger Scan heute nach CCleaner etc. ergebnislos) Malwarebytes' Anti-Malware 1.38 Datenbank Version: 2371 Windows 5.1.2600 Service Pack 3 28.10.2009 13:15:49 mbam-log-2009-10-28 (13-15-49).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 89287 Laufzeit: 14 minute(s), 34 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) 2. vollständiger Scan Malwarebytes' Anti-Malware 1.41 Datenbank Version: 2775 Windows 5.1.2600 Service Pack 3 28.10.2009 15:10:23 mbam-log-2009-10-28 (15-10-23).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 205295 Laufzeit: 1 hour(s), 41 minute(s), 28 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Geändert von amogg (30.10.2009 um 17:15 Uhr) |
Themen zu 'TR/Crypt.ZPACK.Gen' in 'C:\WINDOWS\Temp\akjo.tmp' |
.dll, 0 bytes, 5 minuten, antivir, avg, avgnt.exe, c:\windows\temp, content.ie5, desktop, einstellungen, explorer, firefox, jusched.exe, logon.exe, lsass.exe, löschen, microsoft, namen, nt.dll, opera.exe, problem, programme, prozesse, registrierungsschlüssel, registry, rundll, scan, security.hijack, services.exe, software, suchlauf, svchost.exe, system volume information, temp, userinit.exe, versteckte objekte, verweise, virus gefunden, warnung, windows, windows\temp, winlogon.exe, xxxx.tmp |