|
Plagegeister aller Art und deren Bekämpfung: TR/Crypt.ZPACK.Gen2 Trojan wurde von Avira gefunden c:\windows\system32\sshnaS21.dllWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
31.03.2011, 20:32 | #1 |
| TR/Crypt.ZPACK.Gen2 Trojan wurde von Avira gefunden c:\windows\system32\sshnaS21.dll Hallo, Avira hat diesen Trojaner gefunden, nach einem kompletten Scan wurde dann noch weitere gefunden. Kann mir jemand helfen? In der Datei 'C:\Dokumente und Einstellungen\florians.ITS\Lokale Einstellungen\Temp\ncermxaosw.tmp' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern Hier der Log von AVIRA: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Donnerstag, 31. März 2011 18:12 Es wird nach 2545243 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : florians Computername : PCFLORIANFLOCOM Versionsinformationen: BUILD.DAT : 10.0.0.635 31822 Bytes 07.03.2011 12:02:00 AVSCAN.EXE : 10.0.3.5 435368 Bytes 10.01.2011 13:22:56 AVSCAN.DLL : 10.0.3.0 56168 Bytes 10.01.2011 13:23:14 LUKE.DLL : 10.0.3.2 104296 Bytes 10.01.2011 13:23:03 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 13:23:11 VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 19:32:49 VBASE003.VDF : 7.11.3.1 2048 Bytes 09.02.2011 19:32:53 VBASE004.VDF : 7.11.3.2 2048 Bytes 09.02.2011 19:32:55 VBASE005.VDF : 7.11.3.3 2048 Bytes 09.02.2011 19:32:57 VBASE006.VDF : 7.11.3.4 2048 Bytes 09.02.2011 19:32:59 VBASE007.VDF : 7.11.3.5 2048 Bytes 09.02.2011 19:33:01 VBASE008.VDF : 7.11.3.6 2048 Bytes 09.02.2011 19:33:04 VBASE009.VDF : 7.11.3.7 2048 Bytes 09.02.2011 19:33:06 VBASE010.VDF : 7.11.3.8 2048 Bytes 09.02.2011 19:33:08 VBASE011.VDF : 7.11.3.9 2048 Bytes 09.02.2011 19:33:11 VBASE012.VDF : 7.11.3.10 2048 Bytes 09.02.2011 19:33:13 VBASE013.VDF : 7.11.3.59 157184 Bytes 14.02.2011 02:22:32 VBASE014.VDF : 7.11.3.97 120320 Bytes 16.02.2011 02:22:30 VBASE015.VDF : 7.11.3.148 128000 Bytes 19.02.2011 02:22:31 VBASE016.VDF : 7.11.3.183 140288 Bytes 22.02.2011 02:22:32 VBASE017.VDF : 7.11.3.216 124416 Bytes 24.02.2011 18:51:11 VBASE018.VDF : 7.11.3.251 159232 Bytes 28.02.2011 18:51:13 VBASE019.VDF : 7.11.4.33 148992 Bytes 02.03.2011 18:51:14 VBASE020.VDF : 7.11.4.73 150016 Bytes 06.03.2011 18:51:09 VBASE021.VDF : 7.11.4.108 122880 Bytes 08.03.2011 18:51:14 VBASE022.VDF : 7.11.4.150 133120 Bytes 10.03.2011 18:51:16 VBASE023.VDF : 7.11.4.183 122368 Bytes 14.03.2011 18:53:26 VBASE024.VDF : 7.11.4.228 123392 Bytes 16.03.2011 18:51:12 VBASE025.VDF : 7.11.5.8 246272 Bytes 21.03.2011 15:25:29 VBASE026.VDF : 7.11.5.38 137216 Bytes 23.03.2011 15:25:30 VBASE027.VDF : 7.11.5.82 151552 Bytes 27.03.2011 10:33:37 VBASE028.VDF : 7.11.5.122 154112 Bytes 30.03.2011 10:33:37 VBASE029.VDF : 7.11.5.123 2048 Bytes 30.03.2011 10:33:37 VBASE030.VDF : 7.11.5.124 2048 Bytes 30.03.2011 10:33:37 VBASE031.VDF : 7.11.5.126 2048 Bytes 30.03.2011 10:33:37 Engineversion : 8.2.4.192 AEVDF.DLL : 8.1.2.1 106868 Bytes 10.01.2011 13:22:51 AESCRIPT.DLL : 8.1.3.57 1261947 Bytes 17.03.2011 18:54:25 AESCN.DLL : 8.1.7.2 127349 Bytes 10.01.2011 13:22:49 AESBX.DLL : 8.1.3.2 254324 Bytes 10.01.2011 13:22:49 AERDL.DLL : 8.1.9.9 639347 Bytes 25.03.2011 16:22:24 AEPACK.DLL : 8.2.4.13 524662 Bytes 25.03.2011 16:22:18 AEOFFICE.DLL : 8.1.1.18 205178 Bytes 25.03.2011 16:22:11 AEHEUR.DLL : 8.1.2.91 3387767 Bytes 25.03.2011 16:22:08 AEHELP.DLL : 8.1.16.1 246134 Bytes 08.02.2011 19:24:58 AEGEN.DLL : 8.1.5.3 397684 Bytes 17.03.2011 18:53:26 AEEMU.DLL : 8.1.3.0 393589 Bytes 10.01.2011 13:22:42 AECORE.DLL : 8.1.19.2 196983 Bytes 08.02.2011 19:24:57 AEBB.DLL : 8.1.1.0 53618 Bytes 10.01.2011 13:22:41 AVWINLL.DLL : 10.0.0.0 19304 Bytes 10.01.2011 13:22:56 AVPREF.DLL : 10.0.0.0 44904 Bytes 10.01.2011 13:22:55 AVREP.DLL : 10.0.0.8 62209 Bytes 17.06.2010 13:26:53 AVREG.DLL : 10.0.3.2 53096 Bytes 10.01.2011 13:22:55 AVSCPLR.DLL : 10.0.3.2 84328 Bytes 10.01.2011 13:22:56 AVARKT.DLL : 10.0.22.6 231784 Bytes 10.01.2011 13:22:51 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 10.01.2011 13:22:54 SQLITE3.DLL : 3.6.19.0 355688 Bytes 17.06.2010 13:27:02 AVSMTP.DLL : 10.0.0.17 63848 Bytes 10.01.2011 13:22:56 NETNT.DLL : 10.0.0.0 11624 Bytes 17.06.2010 13:27:01 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08 RCTEXT.DLL : 10.0.58.0 98152 Bytes 10.01.2011 13:23:15 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Lokale Festplatten Konfigurationsdatei...................: c:\programme\avira\antivir desktop\alldiscs.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Intelligente Dateiauswahl Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Abweichende Gefahrenkategorien........: -DIAL, Beginn des Suchlaufs: Donnerstag, 31. März 2011 18:12 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'userinit.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AcroRd32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Hjemea.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Hhl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msiexec.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EXCEL.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'profit.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WINWORD.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'OUTLOOK.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ccc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Act.Scheduler.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Greenshot.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleUpdate.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'OctoshapeClient.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MOM.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NkMonitor.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LogMeInSystray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Act.Outlook.Service.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Scheduler.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smax4pnp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TomTomHOMEService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sqlwriter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sqlbrowser.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mysqld-nt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PsiService_2.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sqlservr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sqlservr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LVPrcSrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LogMeIn.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RaMaint.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LMIGuardianSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iviRegMgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hasplms.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleCrashHandler.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'crypserv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Act.Scheduler.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SCardSvr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SR_Watchdog.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD2 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD3 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD4 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD5 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '1809' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\Dokumente und Einstellungen\florians\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\35\156e7223-643ec6a2 [0] Archivtyp: ZIP [FUND] Ist das Trojanische Pferd TR/Spy.70059 --> 323861664729123.exe [FUND] Ist das Trojanische Pferd TR/Spy.70059 --> 59863205120124.exe [FUND] Ist das Trojanische Pferd TR/Spy.70059 --> CustomClass.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Rowindal.I --> dostuff.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Agent.W --> evilPolicy.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2008-5353.SW --> mosdef.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2008-5353.WA --> SiteError.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0094.B --> xmo.ser [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0094.A C:\Dokumente und Einstellungen\florians\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\5\161f3f85-3acf7374 [0] Archivtyp: ZIP [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Rowindal.I --> CustomClass.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Rowindal.I --> evilPolicy.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2008-5353.SW --> dostuff.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Agent.W --> mosdef.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2008-5353.WA --> SiteError.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0094.B --> xmo.ser [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0094.A C:\Dokumente und Einstellungen\florians.ITS\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\35\156e7223-643ec6a2 [0] Archivtyp: ZIP [FUND] Ist das Trojanische Pferd TR/Spy.70059 --> 323861664729123.exe [FUND] Ist das Trojanische Pferd TR/Spy.70059 --> 59863205120124.exe [FUND] Ist das Trojanische Pferd TR/Spy.70059 --> CustomClass.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Rowindal.I --> dostuff.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Agent.W --> evilPolicy.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2008-5353.SW --> mosdef.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2008-5353.WA --> SiteError.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0094.B --> xmo.ser [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0094.A C:\Dokumente und Einstellungen\florians.ITS\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\5\161f3f85-3acf7374 [0] Archivtyp: ZIP [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Rowindal.I --> CustomClass.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Rowindal.I --> evilPolicy.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2008-5353.SW --> dostuff.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Agent.W --> mosdef.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2008-5353.WA --> SiteError.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0094.B --> xmo.ser [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0094.A Beginne mit der Desinfektion: C:\Dokumente und Einstellungen\florians.ITS\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\5\161f3f85-3acf7374 [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0094.A [HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden! [HINWEIS] Die Datei existiert nicht! C:\Dokumente und Einstellungen\florians.ITS\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\35\156e7223-643ec6a2 [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0094.A [HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden! [HINWEIS] Die Datei existiert nicht! C:\Dokumente und Einstellungen\florians\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\5\161f3f85-3acf7374 [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0094.A [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '044616b6.qua' verschoben! C:\Dokumente und Einstellungen\florians\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\35\156e7223-643ec6a2 [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0094.A [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '627e5977.qua' verschoben! Ende des Suchlaufs: Donnerstag, 31. März 2011 20:26 Benötigte Zeit: 2:13:20 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 40345 Verzeichnisse wurden überprüft 1553696 Dateien wurden geprüft 28 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 2 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 1553668 Dateien ohne Befall 25037 Archive wurden durchsucht 0 Warnungen 2 Hinweise Hier auch der Log von Malwarebytes: Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 6228 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 31.03.2011 21:31:24 mbam-log-2011-03-31 (21-31-24).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 194760 Laufzeit: 6 Minute(n), 32 Sekunde(n) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 1 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 2 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 14 Infizierte Speicherprozesse: c:\WINDOWS\Hjemea.exe (Trojan.Downloader) -> 2392 -> Unloaded process successfully. Infizierte Speichermodule: c:\WINDOWS\mfetcdx.dll (Trojan.Hiloti.Gen) -> Delete on reboot. Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Qcecadeb (Trojan.Hiloti.Gen) -> Value: Qcecadeb -> Delete on reboot. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OUU6KC5WPX (Trojan.Downloader) -> Value: OUU6KC5WPX -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\Dokumente und Einstellungen\florians.ITS\Lokale Einstellungen\Temp\1DF.tmp (Trojan.FakeAlert) -> Delete on reboot. c:\Dokumente und Einstellungen\florians.ITS\Lokale Einstellungen\Temp\1E1.tmp (Trojan.FakeAlert) -> Delete on reboot. c:\Dokumente und Einstellungen\florians.ITS\Lokale Einstellungen\Temp\1E6.tmp (Trojan.FakeAlert) -> Delete on reboot. c:\WINDOWS\mfetcdx.dll (Trojan.Hiloti.Gen) -> Delete on reboot. c:\WINDOWS\Hjemea.exe (Trojan.Downloader) -> Delete on reboot. c:\Dokumente und Einstellungen\florians.ITS\Lokale Einstellungen\Temp\Hhl.exe (Trojan.Downloader) -> Delete on reboot. c:\dokumente und einstellungen\florians.ITS\lokale einstellungen\Temp\1D8.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully. c:\dokumente und einstellungen\florians.ITS\lokale einstellungen\Temp\1E3.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully. c:\dokumente und einstellungen\florians.ITS\lokale einstellungen\Temp\axwcemorns.tmp (Trojan.Hiloti.Gen) -> Quarantined and deleted successfully. c:\dokumente und einstellungen\florians.ITS\lokale einstellungen\Temp\Hhj.exe (Trojan.Downloader) -> Quarantined and deleted successfully. c:\dokumente und einstellungen\florians.ITS\lokale einstellungen\Temp\Hhk.exe (Trojan.Downloader) -> Quarantined and deleted successfully. c:\WINDOWS\Temp\1DA.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully. c:\WINDOWS\Temp\1DC.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully. c:\WINDOWS\installer\MSI112.tmp (HackTool.Hiderun) -> Quarantined and deleted successfully. Danke florian |
31.03.2011, 22:31 | #2 | |||
/// Helfer-Team | TR/Crypt.ZPACK.Gen2 Trojan wurde von Avira gefunden c:\windows\system32\sshnaS21.dll Hallo und Herzlich Willkommen!
__________________Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]: Zitat:
Zitat:
Für Vista und Win7: Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen 1. läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit) Achtung!: WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten! Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! Anleitung:-> GMER - Rootkit Scanner 2. ** Update Malwarebytes Anti-Malware, lass es nochmal anhand der folgenden Anleitung laufen:
3. lade Dir HijackThis 2.0.4 von *von hier* herunter HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen" 4. Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken: System-Dateien und -Ordner unter XP und Vista sichtbar machen Am Ende unserer Arbeit, kannst wieder rückgängig machen! 5. → Lade Dir HJTscanlist.zip herunter → entpacke die Datei auf deinem Desktop → Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren → per Doppelklick starten → Wähle dein Betriebsystem aus - bei Win7 wähle Vista → Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen → Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren → Bitte kopiere den Inhalt hier in Deinen Thread. ** Falls es klappt auf einmal nicht, kannst den Text in mehrere Teile teilen und so posten 6. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool Ccleaner herunter → Download installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein Zitat:
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw grußCoverflow
__________________ |
Themen zu TR/Crypt.ZPACK.Gen2 Trojan wurde von Avira gefunden c:\windows\system32\sshnaS21.dll |
.dll, antivir, avg, avira, ccc.exe, desktop, einstellungen, excel.exe, festplatte, hacktool.hiderun, log, modul, mom.exe, msiexec.exe, nt.dll, programm, programme, prozesse, registry, rojaner gefunden, scan, sched.exe, services.exe, skype.exe, software, svchost.exe, system, temp, tr/crypt.xpack.ge, tr/crypt.xpack.gen, tr/crypt.xpack.gen', tr/spy., trojan, trojaner, trojaner gefunden, verweise, virus, virus gefunden, windows, winlogon.exe |