Hallo,

habe von avira die Meldung bekommen dass ich ein HTML/Crypted.Gen Virus auf dem PC habe.
Ich hab das mal gegoogelt und bin dann hier im Trojaner Board auf die Empfehlung den HJT laufen zu lassen.
Kann sich den log mal jemand ansehen und mir sagen welche Dateien ich entfernen muss und wie?
Die Anleitung hab ich gelesen aber ich weiß nicht genau wie ich das macxhen soll. Soll ich die Systemwiederhesrtellung deaktivieren und dann den HJT benutzen ? Und wie ist das im gesicherten Modus starten gemeint?
Wird der Computer wenn ich denHJT benutze neu gestartet und ich muss das dann währendessen machen?

Code: Alles auswählenAufklappen

ATTFilter

 Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 16:30:14, on 04.02.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Generic\Power4 Gear\BatteryLife.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Programme\Generic\Wireless Console\wcourier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Generic\Generic ChkMail\ChkMail.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
c:\programme\avira\antivir desktop\avcenter.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\TrendMicro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Power_Gear] C:\Programme\Generic\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Wireless Console] C:\Programme\Generic\Wireless Console\wcourier.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Generic ChkMail.lnk = C:\Programme\Generic\Generic ChkMail\ChkMail.exe
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

--
End of file - 7030 bytes
         

Wäre echt dankbar für Hilfe, ich hatte erst vor 2 oder 3 Wochen schon so Probleme einem Virus, dann dachte ich ich hätte die mit dem Avenger und malwarebytes (wurden auch hier im forum empfohlen) wegbekommen dann hat es aber damit geendet dass ich windows neu installiert habe. Will das eigentlich nicht schon wieder machen.

Hallo,

vorhin habe ich von avira die Meldung bekommen dass ich das HTML/Crypted.Gen habe. Im Trojaner Forum habe ich die Empfehlung HJT zu verwenden (und Malewarebytes Anti Malware und CCleaner) gefunden. Das HJT Log hab ich im Forum bei Hijacker / HiJackThis Logs posten gepostet.

Jetzt scheinen es aber immer mehr Viren zu werden!
von antivir kommt jetzt dauernd die meldung dass TR/Drop.Agent.11571 auf meinem PC ist. Wenn ich auf In Quarantäne oder Löschen klicke kommt Meldung sofort wieder, wenn ich auf Zugriff verweigern gehe auch.
Im Moment lasse ichgerade MAM laufen.

Was soll machen?? Das ist echt total nervig. Habe erst vor 2 Wochen oder so Windows neu installiert weil ich Probleme mit Viren hatte.
Wenn MAM fertig ist poste ich das log auch noch.

EDIT

Eben habe ich festgestellt dass der MAM Scanner jedesmal stoppt wenn sich die Antivir Warnmeldung öffnet und erst weiterläuft wenn ich auf Ignorieren gehe.
MAM läuft aber dann nur so lange weiter bis die Warnmeldung WIEDER öffnet, also alle paar Sekunden!!
Ich habe versucht Das Antivir Programm zu öffnen aber es reagiert nicht. Nur die AntiVir Guard Warnmeldung kommt immer wieder.
Langsam bin ich am Verzweifeln.

Was soll der Doppelpost?

Hallo und

Zitat:

habe von avira die Meldung bekommen dass ich ein HTML/Crypted.Gen Virus auf dem PC habe.

Mal wieder fehlt die vollständige Pfadangabe
Log von Antivir nachreichen!

Danach diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Hallo,

@ cosinus

Wenn du dir meinen Post richtig durchgelesen hättest, hättest du dir den Großteil deiner Antwort sparen können.

ich habe mich informiert und Beiträge über das das HTML/Crypted.Gen hier im Trojanerforum durchgelesen bevor ich ein Thema eröffnet habe.

Dabei bin auf diesen Beitrag gestoßen in dem es hieß man solle HJT, CCleaner und MAM verwenden. Das habe ich in meinem ersten Post ja auch so geschrieben.
Ich habe mir die Anleitung für den HJT hier im Trojaner Board durchgelesen in der stand, dass man das HJT log am bestem im Trojaner Board posten soll. Genau Das habe ich dann gemacht.

Danach habe ich noch MAM runtergeladen und den ausführlichen Scan starten lassen.
Wie ich dann in meinem post aber geschrieben habe läuft MAM nicht richtig. Der Scan stoppt andauernd wenn sich die Antivir Warnmeldung öffnet. Im Höchstfall läuft MAM vielleicht 2 oder 3 Sekunden bis sich die Warnmeldung wieder öffnet. Daher kann ich auch keinen log von MAM posten.
Auch Antivir scheint nicht mehr richtig zu funktionieren. Ich kann das Programm nicht mehr öffnen.
Daher kann ich jetzt auch nicht nachsehen unter was für ein Pfad bei dem HTML/Crypted.Gen angegeben war. Wenn ich das irgendwie anders rausfinden kann sag es mir bitte. Ich kenne mich mit PCs leider nicht so gut aus, deswegen poste ich meine Fragen hier im Forum wo es hoffentlich hilfsbereite Leute giebt die sich besser auskennen.

Ich versuche gleich nochmal Antivir zu öffnen (bin im Moment an einem anderen PC weil ich noch was arbeiten muss.) Vielleicht geht es ja dann aber viel Hoffnung habe ich nicht.

Zitat:

Wenn du dir meinen Post richtig durchgelesen hättest, hättest du dir den Großteil deiner Antwort sparen können.

Und Du hättest wenigstens das RSIT Logfile nachreichen können
Dass Du zwei Stränge aufgemacht hast, dient auch nicht gerade der Übersichtlichkeit, wurde zum Glück von einem Admin zusammengeführt, also überleg Du auch mal richtig, bevor Du was postest

Malwarebytes bekommst Du übrigens meistens zum laufen wenn Du die mbam.exe im programmverzeichnis in zB run.exe umbenennst. Meistens lässt es sich dann starten, wenn ein aktiver Schädling das sonst unterbindet.