| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: AntiVir erkennt TR/Crypt.XPACK.Gen2 und 3 sowie WürmerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
01.01.2011, 03:00
| #1 |
 |  AntiVir erkennt TR/Crypt.XPACK.Gen2 und 3 sowie Würmer Guten Tag allerseits! zunächst ein großes Dankeschön an alle hier mithelfenden für Ihre Zeit! Zu meinem Problem: Auf dem Rechner meines Vaters hat AntiVir etwas gefunden: 17 Funde, beinhaltend Trojanische Pferde TR/Dropper.gen, TR/Crypt.XPACK.Gen2, TR/Agent.fbv.3, TR/Crypt.XPACK.Gen3, sowie die Würmer WORM/Palevo.yrg und WORM/Palevo.104960. Die genaue Beschreibung im Anhang unter quarantaene.txt zu finden. Daraufhin habe ich nach Forenanleitung Load.exe heruntergeladen und die Schritte 1-4 erfolgreich ausgeführt. Die defogger_disable.log ist im Anhang. Bei Schritt 5 ist nach mehrstündigem Scan mit GMER ein Fehler aufgetreten: ------- "Datenverlust beim Schreiben" (Windows-Meldung) Es konnten nicht alle Daten für die Datei \Device\HarddiskVolume1\$Mft gespeichert werden. Die Daten gingen verloren. Mögliche Ursachen könnten Computerhardware oder Netzwerkverbindungen sein. Versuchen Sie, die Datei woanders zu speichern." ------- Gmer ist daraufhin abgestürzt, TaskMgr ließ sich nicht mehr öffnen. Ich konnte den PC allerdings noch normal herunterfahren. Der PC schreib auf zwei Festplatten mit RAID1 (Mirror) zur Datensicherung. Ist diese hier womöglich betroffen? Und ist es ratsam, eine Platte auszubauen um weiteren Schaden zu verhindern? Kann man später die Spiegelung aktualisieren? Sorry, falls das hier OT ist. . Den 6. Schritt habe ich wieder normal ausführen können. Die beiden Dateien Extras.txt und OTL.txt sind im Anhang. --------------------------------- Der Computer wird leider z.Zt. gebraucht, daher die Frage: Inwieweit kann man ihn weiter benutzen, bevor die Probleme behoben sind? Ist z.b. die Nutzung ohne Internet okay? (Office, Drucken, etc.) (Anhänge: defogger_disable.log ließ sich nicht hochladen, hab ich in defogger_disable.txt umbenannt. Alle einzeln, oder zusammen als *.zip.) Nochmal vielen Dank im Voraus für Eure Hilfe! wurble (bemerkung: in der anleitung aus "load.exe" steht in schritt 6: "Klicke nun in die Custom Scans/ Fixes Box. " für unerfahrene benutzer ist womöglich der hinweis praktisch, dass DOPPELklick notwendig/gemeint ist. ) nachtrag: ich habe bemerkt, dass ich versehentlich die gmer.exe nicht auf dem desktop hatte, sondern in desktop/gmer/gmer.exe ich hab den scan gerade nochmal angeworfen und werde die fehlenden ergebnisse, falls es diesmal funktioniert, hier morgen früh posten. merci & gute n8 wurble Guten! Nachdem der Rechner die ganze Nacht mit GMER gescannt hat, ist er gerade eben wieder an der gleichen Stunde hängen geblieben. Bitte um Hilfe! Grüße, wurble hallo und ein gutes neues jahr! hier die fehlenden mbam-logs. ich hatte mich schon gewundert, warum ich keine antwort bekomme...  hier sind fünf logs, die ich in den letzten tagen bekommen habe. ist ansteckung im lan ohne weiteres möglich? oder müsste man dazu dateien ausgeführt haben? für hilfe wäre ich sehr dankbar! schöne grüße! wurble ----------------- Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 5396 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 26.12.2010 15:22:27 mbam-log-2010-12-26 (15-22-27).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 188057 Laufzeit: 4 Minute(n), 32 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.Palevo) -> Value: Shell -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\dokumente und einstellungen\Family\anwendungsdaten\wiaservg.log (Malware.Trace) -> Quarantined and deleted successfully. c:\dokumente und einstellungen\Family\anwendungsdaten\nsvb.exe (Worm.Palevo) -> Quarantined and deleted successfully. --------------------- Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 5396 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 29.12.2010 21:23:39 mbam-log-2010-12-29 (21-23-39).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|) Durchsuchte Objekte: 895603 Laufzeit: 1 Stunde(n), 30 Minute(n), 48 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: e:\f\users\Sara\stexamen\blöcke jörg\intenso usb (i)\System\Security\driveguard.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully. -------------------------------- Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 5396 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 29.12.2010 23:50:22 mbam-log-2010-12-29 (23-50-22).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 188039 Laufzeit: 2 Minute(n), 45 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) ------------------------------- Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 5419 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 30.12.2010 02:21:38 mbam-log-2010-12-30 (02-21-38).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|) Durchsuchte Objekte: 895914 Laufzeit: 1 Stunde(n), 28 Minute(n), 12 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) --------------------- Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 5419 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 01.01.2011 02:42:41 mbam-log-2011-01-01 (02-42-41).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|) Durchsuchte Objekte: 896086 Laufzeit: 2 Stunde(n), 58 Minute(n), 18 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 2 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Malware.Trace) -> Value: Shell -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.Agent) -> Value: Taskman -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\dokumente und einstellungen\arne\csrss.exe (Trojan.Palevo.Gen.A) -> Quarantined and deleted successfully. ---------------------------- |
| Themen zu AntiVir erkennt TR/Crypt.XPACK.Gen2 und 3 sowie Würmer |
| aktualisieren, anleitung, antivir, datei, dateien, extras.txt, fehler, festplatte, festplatten, frage, gebraucht, gmer, großes, internet, klicke, load.exe, netzwerkverbindungen, nicht mehr, office, ohne internet, otl.txt, problem, probleme, pum.disabled.securitycenter, rechner, scan, tr/crypt.xpack.ge, tr/crypt.xpack.gen, tr/crypt.xpack.gen2, tr/dropper.gen, trojanische pferde, warum, würmer |
Baum-Darstellung