| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: nach heftigem Virenbefall: PC stürzt ständig ab, AntiVir zeigt TR/Crypt.XPACK.Gen anWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
27.05.2010, 12:57
| #1 |
| |  nach heftigem Virenbefall: PC stürzt ständig ab, AntiVir zeigt TR/Crypt.XPACK.Gen an Betriebssystemname Microsoft Windows XP Home Edition Version 5.1.2600 Service Pack 3 Build 2600 Betriebssystemhersteller Microsoft Corporation Systemname *********** Systemhersteller Fujitsu Siemens Systemmodell GA-8SGXLFS Systemtyp X86-basierter PC Prozessor x86 Family 15 Model 2 Stepping 7 GenuineIntel ~3081 Mhz BIOS-Version/-Datum Award Software International, Inc. F5, 24.09.2003 SMBIOS-Version 2.3 Windows-Verzeichnis C:\WINDOWS Systemverzeichnis C:\WINDOWS\system32 Startgerät \Device\HarddiskVolume1 Gebietsschema Deutschland Hardwareabstraktionsebene Version = "5.1.2600.5512 (xpsp.080413-2111)" Benutzername SRGSTR28-EB6EFC\*** Zeitzone Westeuropäische Sommerzeit Gesamter realer Speicher 1.024,00 MB Verfügbarer realer Speicher 557,38 MB Gesamter virtueller Speicher 2,00 GB Verfügbarer virtueller Speicher 1,96 GB Größe der Auslagerungsdatei 2,40 GB Auslagerungsdatei D:\pagefile.sys Liebes Trojaner-Board-Team! zunächst einmal herzlichen Dank das dieses Board besteht, hier habe ich schon viele Tipps und Ratschläge aufnehmen können. Doch nun zu meinem eigenen Problem: Den Anfang des Virenbefalls machte die Schadsoftware von der ICPP Foundation, die mir vorspielte raubkopiert zu haben hxxp://w*w.avira.com/de/sicherheits-news/erpressungstrojaner.html. Danach erschienen Malware-Dropper; u.a. PACKUPDATE_BUILD106_231.EXE hxxp://w*w.prevx.com/filenames/402629763326883003-X1/PACKUPDATE_BUILD106_231.EXE.html. TR/Trash.Gen, TR/PCK:Katusha.J.2277 waren auch zeitweilig vertreten! Diese habe ich nunmehr wohl erfolgreich (???) vernichtet. Dennoch meldet AntiVir weiterhin insbesondere den TR/Crypt.XPACK.Gen und findet beim Suchlauf Java/Agent.F.1 und TR/Vapsup.zzl. u.a. bei Suchen über Google öffnet sich oftmals eine andere Seite (Suchmaschine z.B. Ask.com) oder ein weiterer Tab; ringbacks.com, disturbed.com/Search.php, americandenture.com oder ad.reduxmedia.com. Noch schlimmer ist das ich malewarebytes oftmals nicht durchlaufen lassen kann, da der PC (nicht nur beim Durchlaufen von Programmen, sondern scheinbar willkürlich) abstürzt - was erst seit Auftreten der Viren auf meinem PC geschieht; ab und an auch mal mit einem piepen wonach dann alles stillsteht. ich bedanke mich schonmal im voraus für die lieben Hilfestellungen und hoffe das ich die Forenregeln sämtlichst eingehalten habe. beste Grüße! ps: wie ich jetzt die einzelnen Logs einstelle hab ich i-wie nicht begriffen, habe jetzt den AntiVir-LOg einfach als Antwort auf mein eigenes Thema formuliert... OTL und Malwarebytes kann ich so bei Bedarf auch noch nachreichen... Log von Avira AntiVir Personal Code:
ATTFilter Erstellungsdatum der Reportdatei: Donnerstag, 20. Mai 2010 18:13
Es wird nach 2139862 Virenstämmen gesucht.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : SRGSTR28-EB6EFC
Versionsinformationen:
BUILD.DAT : 9.0.0.422 21701 Bytes 09.03.2010 10:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 19.11.2009 16:11:33
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 16:11:32
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 16:10:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 22:32:10
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 18:31:52
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 11:01:32
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 19:28:25
VBASE006.VDF : 7.10.6.83 2048 Bytes 15.04.2010 19:28:26
VBASE007.VDF : 7.10.6.84 2048 Bytes 15.04.2010 19:28:26
VBASE008.VDF : 7.10.6.85 2048 Bytes 15.04.2010 19:28:26
VBASE009.VDF : 7.10.6.86 2048 Bytes 15.04.2010 19:28:26
VBASE010.VDF : 7.10.6.87 2048 Bytes 15.04.2010 19:28:26
VBASE011.VDF : 7.10.6.88 2048 Bytes 15.04.2010 19:28:26
VBASE012.VDF : 7.10.6.89 2048 Bytes 15.04.2010 19:28:26
VBASE013.VDF : 7.10.6.90 2048 Bytes 15.04.2010 19:28:26
VBASE014.VDF : 7.10.6.123 126464 Bytes 19.04.2010 18:46:07
VBASE015.VDF : 7.10.6.152 123392 Bytes 21.04.2010 18:46:32
VBASE016.VDF : 7.10.6.178 122880 Bytes 22.04.2010 19:20:21
VBASE017.VDF : 7.10.6.206 120320 Bytes 26.04.2010 19:20:17
VBASE018.VDF : 7.10.6.232 99328 Bytes 28.04.2010 19:20:29
VBASE019.VDF : 7.10.7.2 155648 Bytes 30.04.2010 15:10:58
VBASE020.VDF : 7.10.7.26 119808 Bytes 04.05.2010 09:16:44
VBASE021.VDF : 7.10.7.51 118272 Bytes 06.05.2010 09:16:44
VBASE022.VDF : 7.10.7.75 404992 Bytes 10.05.2010 12:03:24
VBASE023.VDF : 7.10.7.100 125440 Bytes 13.05.2010 20:15:19
VBASE024.VDF : 7.10.7.119 177664 Bytes 17.05.2010 16:11:52
VBASE025.VDF : 7.10.7.139 129024 Bytes 19.05.2010 16:11:53
VBASE026.VDF : 7.10.7.140 2048 Bytes 19.05.2010 16:11:53
VBASE027.VDF : 7.10.7.141 2048 Bytes 19.05.2010 16:11:53
VBASE028.VDF : 7.10.7.142 2048 Bytes 19.05.2010 16:11:53
VBASE029.VDF : 7.10.7.143 2048 Bytes 19.05.2010 16:11:53
VBASE030.VDF : 7.10.7.144 2048 Bytes 19.05.2010 16:11:54
VBASE031.VDF : 7.10.7.148 40960 Bytes 20.05.2010 16:11:54
Engineversion : 8.2.1.242
AEVDF.DLL : 8.1.2.0 106868 Bytes 24.04.2010 19:20:26
AESCRIPT.DLL : 8.1.3.29 1343866 Bytes 12.05.2010 17:10:12
AESCN.DLL : 8.1.6.1 127347 Bytes 12.05.2010 17:10:11
AESBX.DLL : 8.1.3.1 254324 Bytes 24.04.2010 19:20:26
AERDL.DLL : 8.1.4.6 541043 Bytes 15.04.2010 19:28:50
AEPACK.DLL : 8.2.1.1 426358 Bytes 19.03.2010 19:01:24
AEOFFICE.DLL : 8.1.1.0 201081 Bytes 12.05.2010 17:10:11
AEHEUR.DLL : 8.1.1.27 2670967 Bytes 07.05.2010 09:16:47
AEHELP.DLL : 8.1.11.3 242039 Bytes 03.04.2010 12:09:02
AEGEN.DLL : 8.1.3.9 377203 Bytes 12.05.2010 17:10:10
AEEMU.DLL : 8.1.2.0 393588 Bytes 24.04.2010 19:20:24
AECORE.DLL : 8.1.15.3 192886 Bytes 12.05.2010 17:10:10
AEBB.DLL : 8.1.1.0 53618 Bytes 24.04.2010 19:20:24
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 08.09.2009 13:50:07
AVREP.DLL : 8.0.0.7 159784 Bytes 17.02.2010 22:07:24
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 11.08.2009 20:56:53
RCTEXT.DLL : 9.0.73.0 87297 Bytes 19.11.2009 16:11:30
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,
Beginn des Suchlaufs: Donnerstag, 20. Mai 2010 18:13
Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '102924' Objekte überprüft, '0' versteckte Objekte wurden gefunden.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WG111v2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ps_agent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soundman.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '30' Prozesse mit '30' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '56' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <XP>
C:\Dokumente und Einstellungen\HelpAssistant\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\33\30feb821-3126cdc3
[0] Archivtyp: ZIP
--> vmain.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.F.1
C:\System Volume Information\_restore{DB9CE467-B934-4494-B4D9-9C5098EEBAFD}\RP232\A0122979.sys
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
C:\WINDOWS\system32\drivers\ndistapi.sys
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
Beginne mit der Suche in 'D:\' <DATEN>
D:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
D:\***Dateien\Downloads\BuLi-Patch14_Komplettpaket.rar
[0] Archivtyp: RAR
--> BuLi-Patch 14 Komplettpaket\Kitserver\bootserv.dll
[FUND] Ist das Trojanische Pferd TR/Vapsup.zzl
Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\HelpAssistant\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\33\30feb821-3126cdc3
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c5b7d11.qua' verschoben!
C:\System Volume Information\_restore{DB9CE467-B934-4494-B4D9-9C5098EEBAFD}\RP232\A0122979.sys
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c267d11.qua' verschoben!
C:\WINDOWS\system32\drivers\ndistapi.sys
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c5e7d46.qua' verschoben!
D:\***Dateien\Downloads\BuLi-Patch14_Komplettpaket.rar
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c417d57.qua' verschoben!
Ende des Suchlaufs: Donnerstag, 20. Mai 2010 20:18
Benötigte Zeit: 1:58:16 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
24500 Verzeichnisse wurden überprüft
613637 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
613632 Dateien ohne Befall
2379 Archive wurden durchsucht
1 Warnungen
5 Hinweise
102924 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
|
|
| Themen zu nach heftigem Virenbefall: PC stürzt ständig ab, AntiVir zeigt TR/Crypt.XPACK.Gen an |
| 0 bytes, abstürze, anfang, antivir, ask.com, befall, betriebssystem, device, google, home, java-virus, jusched.exe, meldet, nt.dll, piepen, problem, programme, regeln, seite, service, service pack 3, software, suche, suchlauf, suchmaschine, tab, tipps, tr/crypt.xpack.ge, tr/crypt.xpack.gen, versteckte objekte, verweise, virenbefall, virtueller, virus gefunden, windows, windows xp, xp home, öffnet |
Linear-Darstellung
