Hallo!

Gestern bekam ich beim Anklicken einer Webseite plötzlich eine Warnung von AntiVir und nach einer vollständigen Systemprüfung liefert der Report diesbezüglich immer folgendes Ergebnis (Auszug):

Beginne mit der Suche in 'C:\'
C:\Windows\System32\drivers\hospdeh.sys
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
Beginne mit der Suche in 'D:\' <RECOVERY>

Beginne mit der Desinfektion:
C:\Windows\System32\drivers\hospdeh.sys
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[WARNUNG] Die Datei konnte nicht zum Löschen nach dem Neustart markiert werden. Mögliche Ursache: Ein an das System angeschlossenes Gerät funktioniert nicht.


Ich habe seit gestern mit verschiedenen Anti-Virenprogrammen und über cmd versucht, die hospdeh.sys, die gestern erstellt wurde, zu löschen aber jedes Mal kommt die Meldung „Kann nicht gelöscht werden…ein an das System angeschlossenes Gerät funktioniert nicht“ o.ä.

Leider habe ich nur SEHR geringe PC-Kenntnisse und keine Ahnung, wie gefährlich dieses Ding ist, geschweige denn wie ich es wieder loswerden kann.

Weitere Infos: Ich nutze Vista und lasse täglich automatisch alle Windows Sicherheits- und Avira-Updates installieren. Trotzdem habe ich mir nur beim bloßen Anklicken (kein download oder so) einer Webseite diesen Trojaner eingefangen. Der Laptop konnte heute wiederholt nicht richtig hochgefahren werden (Meldung von Systemfehler) – zur Zeit besteht dieses Problem nicht – ich habe nur das Gefühl, er ist deutlich langsamer geworden.



Viele Grüße
Katharina

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
%SYSTEMDRIVE%\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\drivers\*.sys /90
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList|helpassistant /rs
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Schritt 2

Bitte

• alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter
  (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
• Entferne rechts den Haken bei
  
  • Sections
  • IAT/EAT
  • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
  • Show all (sollte abgehackt sein)
• Vista-User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  Unbedingt auf "No" klicken.
• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!


Bitte poste in Deiner nächsten Antwort
OTL.txt
Extras.txt
Gmer.txt

Schön ist es wenn man random Malware hat. Da findet man auch direkt Posts in anderen Foren

Hilfe! TR/Crypt.ZPACK.Gen eingefangen! - Viren und andere Sicherheitsrisiken - Avira Support Forum gehts weiter

Hallo Larusso,

danke für deine Antwort(en).

Es ist nicht so, dass ich etliche Foren vollspamme, wenn mir mal zu irgendeinem kleinen Problem nicht sofort eine Lösung einfällt.

Es ist nur so, dass ich mir wegen dieses Trojaners ziemliche Sorgen mache und mir deshalb erlaubt habe, nach einem Forum mit etwas mehr traffic zu suchen, nachdem ich in dem anderen zuerst noch keine Antwort erhalten hatte. Wenn soetwas unerwünscht ist oder gegen irgendwelche Richtlinien verstößt, tut es mir leid (darum hatte ich mir keine Gedanken gemacht). Ich weiß es sehr wohl zu schätzen, dass für derlei Probleme Plattformen zu Verfügung stehen, bin auch jedem einzelnen, der sich die Zeit nimmt, sich mit meinem Posting/Problem zu beschäftigen, sehr dankbar und hätte bzw. werde dir - oder jedem anderen, der einen Rat oder eine Frage hat - auch nochmal antworten.

http://www.trojaner-board.de/extra/impressum.html#NUB

Punkt 2

Zitat:

Fallen Dir danach noch wichtige Details ein hast du 1 Stunde Zeit deinen Beitrag zu editieren.
Crosspostings sind nicht erwünscht und werden gelöscht!

Regeln - Avira Support Forum

Punkt 4

Zitat:

Doppelte Beiträge oder so genannte "Cross Postings" (derselbe Beitrag in zwei oder mehreren verschiedenen Unterforen) sind nicht erwünscht. Dies führt unweigerlich zur Löschung der doppelten Anfragen zum selben Thema. Gezielte Hilfe setzt voraus, dass alle Antworten und Informationen in einem Thema gesammelt werden.

Diese Regeln wurden beim Registrieren akzeptiert.

Wenn Du bei AVira weitermachen willst, stelle ich hiermit den Support ein.
Willst Du hier weitermachen stelle den Support bei Avira offensichtlich ein (kurzer hinweis an den Helfer im Thread)

Your choice