Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Infiziert mit TR/Dldr.Renos.CH und TR/Crypt.XPACK.Gen2

Infiziert mit TR/Dldr.Renos.CH und TR/Crypt.XPACK.Gen2


Plagegeister aller Art und deren Bekämpfung: Infiziert mit TR/Dldr.Renos.CH und TR/Crypt.XPACK.Gen2

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 12.10.2010, 09:33   #1
CH-Martin
 
Infiziert mit TR/Dldr.Renos.CH und TR/Crypt.XPACK.Gen2 - Standard

Infiziert mit TR/Dldr.Renos.CH und TR/Crypt.XPACK.Gen2


Guten Morgen
Offenbar habe ich mir was böses eingefangen, bemerkt habe ich das auf Facebook, als jeder Beitrag den ich schrieb beim Posten zu einem Link wurde, der auf ein Video geht.
Ich habe HijackThis laufen lassen:

HiJackthis Logfile:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:04:40, on 12.10.2010
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16982)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\acrotray.exe
C:\Program Files\pdf24\pdf24.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Logitech Touch Mouse Server\iTouch-Server-Win.exe
C:\Users\Studer\wrvoul.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [PDFPrint] C:\Program Files\pdf24\pdf24.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [bphus] C:\Users\Studer\bphus.exe /a
O4 - HKCU\..\Run: [nimit] C:\Users\Studer\nimit.exe /q
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [wrvoul] C:\Users\Studer\wrvoul.exe /u
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: Logitech Touch Mouse Server.lnk = C:\Program Files\Logitech Touch Mouse Server\iTouch-Server-Win.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O13 - Gopher Prefix: 
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe

--
End of file - 7964 bytes
--- --- ---


Habe leider grad nichts passendes zu meinem Problem gefunden hier, und bitte euch um Hilfe. Besten Dank, und Gruss

Edit: Spybot search&Destroy habe ich deinstalliert

Habe noch Malwarebytes laufen lassen:
Zitat:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4799

Windows 6.0.6000
Internet Explorer 7.0.6000.16982

12.10.2010 10:43:53
mbam-log-2010-10-12 (10-43-53).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 135546
Laufzeit: 5 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\$Recycle.Bin\S-1-5-21-2806580214-3656077282-495966031-1000\$R3UOEN4.exe (P2P.Worm) -> Quarantined and deleted successfully.
C:\$Recycle.Bin\S-1-5-21-2806580214-3656077282-495966031-1000\$RBND7AD.exe (P2P.Worm) -> Quarantined and deleted successfully.
C:\$Recycle.Bin\S-1-5-21-2806580214-3656077282-495966031-1000\$REWCNHA.scr (P2P.Worm) -> Quarantined and deleted successfully.
C:\$Recycle.Bin\S-1-5-21-2806580214-3656077282-495966031-1000\$RFNKQ0W.exe (P2P.Worm) -> Quarantined and deleted successfully.
C:\$Recycle.Bin\S-1-5-21-2806580214-3656077282-495966031-1000\$RH1KD3I.scr (P2P.Worm) -> Quarantined and deleted successfully.
C:\$Recycle.Bin\S-1-5-21-2806580214-3656077282-495966031-1000\$RH8H4MF.scr (P2P.Worm) -> Quarantined and deleted successfully.
Geändert von CH-Martin (12.10.2010 um 09:46 Uhr)

Alt 12.10.2010, 09:42   #2
Chris4You
 
Infiziert mit TR/Dldr.Renos.CH und TR/Crypt.XPACK.Gen2 - Standard

Infiziert mit TR/Dldr.Renos.CH und TR/Crypt.XPACK.Gen2


Hi,

here we go...

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\Program Files\pdf24\pdf24.exe
C:\Users\Studer\wrvoul.exe
C:\Users\Studer\nimit.exe
C:\Users\Studer\bphus.exe
C:\Users\Studer\wrvoul.exe
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Schauen wir mal was MAM dazu sagt ;o):

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop
  • Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)
  • Poste die Logfiles hier in den Thread

chris
__________________

__________________
Alt 12.10.2010, 09:45   #3
CH-Martin
 
Infiziert mit TR/Dldr.Renos.CH und TR/Crypt.XPACK.Gen2 - Standard

Infiziert mit TR/Dldr.Renos.CH und TR/Crypt.XPACK.Gen2


Habe noch Malwarebytes laufen lassen:

Zitat:
Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4799

Windows 6.0.6000
Internet Explorer 7.0.6000.16982

12.10.2010 10:43:53
mbam-log-2010-10-12 (10-43-53).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 135546
Laufzeit: 5 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\$Recycle.Bin\S-1-5-21-2806580214-3656077282-495966031-1000\$R3UOEN4.exe (P2P.Worm) -> Quarantined and deleted successfully.
C:\$Recycle.Bin\S-1-5-21-2806580214-3656077282-495966031-1000\$RBND7AD.exe (P2P.Worm) -> Quarantined and deleted successfully.
C:\$Recycle.Bin\S-1-5-21-2806580214-3656077282-495966031-1000\$REWCNHA.scr (P2P.Worm) -> Quarantined and deleted successfully.
C:\$Recycle.Bin\S-1-5-21-2806580214-3656077282-495966031-1000\$RFNKQ0W.exe (P2P.Worm) -> Quarantined and deleted successfully.
C:\$Recycle.Bin\S-1-5-21-2806580214-3656077282-495966031-1000\$RH1KD3I.scr (P2P.Worm) -> Quarantined and deleted successfully.
C:\$Recycle.Bin\S-1-5-21-2806580214-3656077282-495966031-1000\$RH8H4MF.scr (P2P.Worm) -> Quarantined and deleted successfully.
__________________
Alt 12.10.2010, 09:53   #4
Chris4You
 
Infiziert mit TR/Dldr.Renos.CH und TR/Crypt.XPACK.Gen2 - Standard

Infiziert mit TR/Dldr.Renos.CH und TR/Crypt.XPACK.Gen2


Hi,

lass die angegebenen Dateien bei virustotal prüfen... scheint ein Wurm zu sein...
Will sehen ob die Dateien erkannt werden, sonst schicken wir sie an die AV-Hersteller...
Dann MAM im Fullscan-Modus laufen lassen, Log posten...

Wenn mam sie nicht erkennt fixen wir per hand..

Poste auch noch das OTL-Log...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )
Geändert von Chris4You (12.10.2010 um 10:00 Uhr)

Alt 12.10.2010, 12:54   #5
CH-Martin
 
Infiziert mit TR/Dldr.Renos.CH und TR/Crypt.XPACK.Gen2 - Standard

Infiziert mit TR/Dldr.Renos.CH und TR/Crypt.XPACK.Gen2


Hallo und danke für die schnelle Hilfe.

Von diesen Dateien die ich mit Virustotal überprüfen sollte, habe ich nur die 1. von Dir angegebene Gefunden, pdf24.
Das Log:

Zitat:
C:\Program Files\pdf24\pdf24.exe:

Antivirus Version Last Update Result
AhnLab-V3 2010.10.12.02 2010.10.12 -
AntiVir 7.10.12.188 2010.10.12 -
Antiy-AVL 2.0.3.7 2010.10.12 -
Authentium 5.2.0.5 2010.10.12 -
Avast 4.8.1351.0 2010.10.12 -
Avast5 5.0.594.0 2010.10.12 -
AVG 9.0.0.851 2010.10.12 -
BitDefender 7.2 2010.10.12 -
CAT-QuickHeal 11.00 2010.10.12 -
ClamAV 0.96.2.0-git 2010.10.12 -
Comodo 6362 2010.10.12 -
DrWeb 5.0.2.03300 2010.10.12 -
Emsisoft 5.0.0.50 2010.10.12 -
eSafe 7.0.17.0 2010.10.11 -
eTrust-Vet 36.1.7906 2010.10.12 -
F-Prot 4.6.2.117 2010.10.11 -
F-Secure 9.0.15370.0 2010.10.12 -
Fortinet 4.2.249.0 2010.10.12 -
GData 21 2010.10.12 -
Ikarus T3.1.1.90.0 2010.10.12 -
Jiangmin 13.0.900 2010.10.12 -
K7AntiVirus 9.65.2724 2010.10.11 -
Kaspersky 7.0.0.125 2010.10.12 -
McAfee 5.400.0.1158 2010.10.12 -
McAfee-GW-Edition 2010.1C 2010.10.12 -
Microsoft 1.6201 2010.10.12 -
NOD32 5523 2010.10.12 -
Norman 6.06.07 2010.10.11 -
nProtect 2010-10-12.01 2010.10.12 -
Panda 10.0.2.7 2010.10.12 -
PCTools 7.0.3.5 2010.10.12 -
Prevx 3.0 2010.10.12 -
Rising 22.69.01.04 2010.10.12 -
Sophos 4.58.0 2010.10.12 -
Sunbelt 7042 2010.10.12 -
SUPERAntiSpyware 4.40.0.1006 2010.10.12 -
Symantec 20101.2.0.161 2010.10.12 -
TheHacker 6.7.0.1.055 2010.10.12 -
TrendMicro 9.120.0.1004 2010.10.12 -
TrendMicro-HouseCall 9.120.0.1004 2010.10.12 -
VBA32 3.12.14.1 2010.10.11 -
ViRobot 2010.9.25.4060 2010.10.12 -
Additional information
Show all
MD5 : 2079a1c85852e2fe56a917df77d53d58
SHA1 : 86d2f838889eb8aa76859a6ef571f2325aca0478
SHA256: 73aeedaf42896173aee75309c08f262131b8f2efc0c04f09a6475ef88e75d35a
Die anderen sehe ich nicht in meinem (Punkt 1, alle Dateien anzeigen hab ich gemacht)

Soll ich mal mit Malwarebytes weitermachen?


Alt 12.10.2010, 13:35   #6
Chris4You
 
Infiziert mit TR/Dldr.Renos.CH und TR/Crypt.XPACK.Gen2 - Standard

Infiziert mit TR/Dldr.Renos.CH und TR/Crypt.XPACK.Gen2


Hi,

warte, wir fahren erst folgende Scripte ab und dann erst MAM mit Fullscann und alles bereinigen lassen...


Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:
ATTFilter
Files to delete:
C:\Users\Studer\bphus.exe
C:\Users\Studer\nimit.exe
C:\Users\Studer\wrvoul.exe
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.


Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!
(Falls vorhanden, Teatimer von Spyboot wie folgt deaktivieren:
Modus-->Erweiterte Modus-->Ja-->Werkzeuge-->Resident-->Häkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen)->exit)

Code:
ATTFilter
O4 - HKCU\..\Run: [bphus] C:\Users\Studer\bphus.exe /a
O4 - HKCU\..\Run: [nimit] C:\Users\Studer\nimit.exe /q
O4 - HKCU\..\Run: [wrvoul] C:\Users\Studer\wrvoul.exe /u
chris
__________________
--> Infiziert mit TR/Dldr.Renos.CH und TR/Crypt.XPACK.Gen2

Alt 12.10.2010, 15:54   #7
CH-Martin
 
Infiziert mit TR/Dldr.Renos.CH und TR/Crypt.XPACK.Gen2 - Standard

Infiziert mit TR/Dldr.Renos.CH und TR/Crypt.XPACK.Gen2


Hallo

Avenger Log:

Zitat:
Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\Users\Studer\bphus.exe" not found!
Deletion of file "C:\Users\Studer\bphus.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Users\Studer\nimit.exe" not found!
Deletion of file "C:\Users\Studer\nimit.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Users\Studer\wrvoul.exe" not found!
Deletion of file "C:\Users\Studer\wrvoul.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.
Die hier:
Zitat:
O4 - HKCU\..\Run: [bphus] C:\Users\Studer\bphus.exe /a
O4 - HKCU\..\Run: [nimit] C:\Users\Studer\nimit.exe /q
O4 - HKCU\..\Run: [wrvoul] C:\Users\Studer\wrvoul.exe /u
habe ich in der Auswahl von HijackThis nicht gefunden

In meinen eigenen Dateien habe ich 3 .exe Dateien die ich net kenne und die nach jedem Neustart wieder da sind:
Infiziert mit TR/Dldr.Renos.CH und TR/Crypt.XPACK.Gen2-eigene-dat..jpg

Gruss

Antwort

Themen zu Infiziert mit TR/Dldr.Renos.CH und TR/Crypt.XPACK.Gen2
adobe, antivir, antivir guard, avg, avira, bho, bonjour, defender, desktop, excel, explorer, hijack, hijackthis, internet, internet explorer, logfile, problem, recycle.bin, rundll, safer networking, security, server, software, system, tr/crypt.xpack.ge, tr/crypt.xpack.gen, tr/crypt.xpack.gen2, vista, windows


« Trojaner will Reihe von TANs | Antivir Error & mehrere Virenfunde TR.. & JAVA... »


Ähnliche Themen: Infiziert mit TR/Dldr.Renos.CH und TR/Crypt.XPACK.Gen2


  1. TR/Patched.Ren.Gen2 und 'TR/Crypt.XPACK.Gen2'
    Log-Analyse und Auswertung - 16.10.2013 (9)
  2. AntiVir hat folgede Viren gefunden: TR/Crypt.ZPACK.Gen2' & 'TR/Crypt.XPACK.Gen5' [trojan
    Plagegeister aller Art und deren Bekämpfung - 26.09.2012 (33)
  3. TR/Crypt.XPACK.Gen8 - TR/Crypt.EPACK.Gen2 - TR/ATRAPS.Gen
    Plagegeister aller Art und deren Bekämpfung - 10.07.2012 (18)
  4. TR/Crypt.XPACK.Gen5, TR/Crypt.ZPACK.Gen2, TR/Fake.Rean.3394, TR/PSW.Fareit.A.64
    Plagegeister aller Art und deren Bekämpfung - 19.12.2011 (30)
  5. Crypt.Xpack.Gen2
    Plagegeister aller Art und deren Bekämpfung - 29.11.2011 (19)
  6. TR/Crypt.XPACK.Gen und TR/Crypt.ZPACK.Gen2 gefunden PC extrem langsam
    Log-Analyse und Auswertung - 19.10.2011 (8)
  7. tr/crypt.xpack.gen2
    Log-Analyse und Auswertung - 01.06.2011 (17)
  8. ADSPY/AdSpy.Gen2, TR/Crypt.XPACK.Gen2 u.a. , lassen sich nicht entfernen
    Log-Analyse und Auswertung - 06.05.2011 (9)
  9. Spaß mit TR/ATRAPS.Gen2, TR/Kazy.mekml.1 und Crypt.XPACK.Gen2
    Plagegeister aller Art und deren Bekämpfung - 30.04.2011 (1)
  10. TR/Trash.Gen // TR/Spy.Agent.blbk // TR/Rootkit.Gen2' // TR/BHO.Gen // TR/Crypt.XPACK.Gen2' et al
    Antiviren-, Firewall- und andere Schutzprogramme - 05.11.2010 (16)
  11. TR/Crypt.XPACK.Gen3 - nach formatierung von C: TR/Crypt.XPACK.Gen2 gefunden
    Plagegeister aller Art und deren Bekämpfung - 17.10.2010 (9)
  12. TR/Crypt.XPACK.Gen3, TR/Crypt.XPACK.Gen2
    Plagegeister aller Art und deren Bekämpfung - 10.10.2010 (4)
  13. TR/Dldr.Pher.gml + TR/Crypt.XPACK.Gen2
    Plagegeister aller Art und deren Bekämpfung - 05.10.2010 (2)
  14. Trojaner TR/Dldr.Small.aulw und TR/Crypt.XPACK.Gen2 + Gen3 gefunden
    Plagegeister aller Art und deren Bekämpfung - 26.09.2010 (15)
  15. TR/Dropper.gen und TR/Crypt.XPACK.Gen und TR/Crypt.XPACK.Gen2 und TR/Dldr.Agent.cxyf.3
    Plagegeister aller Art und deren Bekämpfung - 29.07.2010 (32)
  16. TR/dldr.swizzor.gen2, TR/crypt.xpack.gen, TR/crypt.zpack.gen unter Windows XP
    Plagegeister aller Art und deren Bekämpfung - 16.06.2010 (15)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Infiziert mit TR/Dldr.Renos.CH und TR/Crypt.XPACK.Gen2 - Guten Morgen Offenbar habe ich mir was böses eingefangen, bemerkt habe ich das auf Facebook, als jeder Beitrag den ich schrieb beim Posten zu einem Link wurde, der auf ein - Infiziert mit TR/Dldr.Renos.CH und TR/Crypt.XPACK.Gen2...
Archiv
Du betrachtest: Infiziert mit TR/Dldr.Renos.CH und TR/Crypt.XPACK.Gen2 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131