|
Trojaner TR/Crypt.EPACK.Gen2 Hallo, Seit ca. 3 Tagen fand Antivir den Trojaner TR/Crypt.EPACK.Gen2. Trotz verschieben in Quarantäne tauchte er immer wieder auf. Hab auch Windows Defender, Hijackthis und Spybot Search&Destroy verwendet. Konkrete Probleme mit meiner Rechner-Performance hatte ich noch nicht bemerkt, außer: (1) Die Virendateien für Antivir lassen sich nur noch manuell updaten. (2) Probleme mit meinem Internetzugang, was aber am Modem zu liegen schien (rote LED). Hab einen Modem-Reset gemacht. Was mich hierbei aber wunderte (weil ich nichts verändert hatte): Ich musste nach dem Modem-Reset in Firefox umstellen von "Proxy-Einstellungen des Systems verwenden" auf "Die Proxy-Einstellungen für dieses Netzwerk automatisch erkennen". Gestern hab ich den Java-Cash-Speicher geleert. Heute hab ich Antivir 2x laufen lassen (als Administrator) und er hat nichts mehr gemeldet. Kann ich davon ausgehen, dass der Trojaner evtl. weg ist? Danke schon mal im Voraus. |
Trojaner TR/Crypt.EPACK.Gen2, JAVA/Exdoer.CU.2 und JAVA/Exdoer.CT.3 zuerst: Tut mir leid, dass ich zu meinem Problemfall ein neues Thema öffne, aber ich fand keinen anderen Weg, Zusatzinfo und Logfiles (Antivir-Scans, defogger.disable.log, OTL.txt + extras.txt) anzuhängen an mein Thema von gestern ("TR/Crypt.EPACK.Gen2"). Wenn ich einen Weg finde, lösche ich den "unvollständigen" Beitrag von gestern. Hier eine erweiterte Beschreibung meines Problems: Seit ca. 4 Tagen fand Antivir den Trojaner TR/Crypt.EPACK.Gen2. Trotz Verschieben in Quarantäne tauchte er (TR/Cr...) immer wieder auf (AVSCAN-20110610-190402-DF234DBF.LOG und AVSCAN-20110610-200239-FFB13384). Aber scheinbar mit unterschiedlicher Location. Das 2. Mal in der WindowsDefender Quarantäne? Ebenfalls gefunden wurden direkt vor dem Trojaner: JAVA/Exdoer.CU.2 und JAVA/Exdoer.CT.3 (AVSCAN-20110609-094019-18842AC0.LOG). Nach Verschieben in Quarantäne tauchten sie (JAVA/Ex...) nicht mehr auf. Außerdem habe ich nach diesen Funden den Java-Cash geleert. Konkrete Probleme mit meiner Rechner-Performance habe ich noch nicht bemerkt, außer: (1) Die Virendateien für Antivir lassen sich nur noch manuell updaten. (2) Probleme mit meinem Internetzugang, was aber am Modem zu liegen schien (rote LED). Was mich hierbei aber wunderte (weil ich nichts verändert hatte): Ich musste nach dem Modem-Reset in Firefox umstellen von "Proxy-Einstellungen des Systems verwenden" auf "Die Proxy-Einstellungen für dieses Netzwerk automatisch erkennen". Gestern fand Antivir (Virensignaturen manuell upgedated, 3 Scans. Antivir-Logs 4-6 im Anhang, AVSCAN-20110613-...log) nichts mehr. Scheint zwar erfreulich, bin aber nun unsicher. Kann der Trojaner wirklich weg sein? Hier das defogger.disable.log: defogger_disable by jpshortstuff (23.02.10.1) Log created at 08:54 on 14/06/2011 (marion u) Checking for autostart values... HKCU\~\Run values retrieved. HKLM\~\Run values retrieved. Checking for services/drivers... -=E.O.F=- OTL.txt und Extras.txt im angehängten Zip, da es hier zu viel war. Danke schon mal für's Draufschauen. |
Edit: Hab die Themen mal zusammengeführt. Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! |
hallo Arne, Super, danke für's Finden und Zusammenführen meiner 2 Beiträge! Beim Malwarebytes-Download gab's ein (scheinbar neues) Popup, ob ich die Vollversion testen will. Hab auf Ablehnen geklickt. Falls notwendig, muss ich es halt nochmal wiederholen. Hier das Ergebnis des malwarebytes-Vollscans: Malwarebytes' Anti-Malware 1.51.0.1200 www.malwarebytes.org Datenbank Version: 6852 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 14.06.2011 14:06:49 mbam-log-2011-06-14 (14-06-49).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 369069 Laufzeit: 37 Minute(n), 43 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
hallo Arne, hab Combofix ausgeführt. Davor Antivir und Windows Defender deaktiviert, die Windows Firewall allerdings nicht. Nach dem Scan wurde der Rechner automatisch neu gestartet und ein unbekanntes Programm (eine cfxxe-Datei) wollte Admin-Rechte (Windows-Aufforderungsfenster). Ich war noch am Überlegen, was tun, als das Aufforderungsfenster verschwand. Das Log wurde nicht automatisch geöffnet. Ich fand das Log nicht flach unter "C:", sondern unter "C:\cofi\ComboFix.txt". Hier sah ich auch cfxxe-Dateien ;-), d.h. nächstes Mal lasse ich sie zu. Das Log: - ein bissl wenig? ComboFix 11-06-13.06 - marion u 14.06.2011 15:06:28.1.4 - x64 Microsoft Windows 7 Home Premium 6.1.7600.0.1252.49.1031.18.6135.4775 [GMT 2:00] ausgeführt von:: C:\Users\Marion_Internet\Desktop\cofi.exe AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7} SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A} SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} Gruß, Marion |
Steht da wirklich nicht mehr drin? |
mit Strg+A muss ich ja alles kriegen, was im File steht!?! Vielleicht muss ich Combofix nochmal laufen lassen. Vielleicht war das Problem, dass ich nach dem Rechner-Neustart mein OK für die cfxxe-Datei nicht gegeben hab. Die stand auch nicht in der Anleitung. Zur Absicherung: Windows Firewall muss auch ausgeschaltet werden? Rechner-Neustart is ok? Und dann die cfxxe-Datei zulassen. Gruß, Marion |
Starte Windows neu, lösch die alte cofi.exe, lade CF neu als cofi.exe runter und probier es bitte nochmal. Eigentlich kann die Windows-Firewall aber an bleiben oder hast du sie so scharf gestellt, dass auch Ausgehendes erstmal geblockt wird? |
ok, hoffe, dass es jetzt geklappt hat. Zumindest isses deutlich mehr. Cofi neu runtergeladen. Firewall ausgeschaltet, Antivir und Defender ebenfalls, wobei Antivir beim Rechner-Neustart (wird in der Anleitung nicht erwähnt) wieder eingeschaltet wird. Hoffe, das war dann kein Problem. Combofix Logfile: Code: ComboFix 11-06-13.06 - marion u 14.06.2011 15:59:39.2.4 - x64 |
Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
Mir fällt übrigens grad auf, dass ich Antivir (die Programmoberfläche) nicht mehr starten kann. Den AVGuard kann ich noch ein/ausschalten. Könnte nach einem Rechner-Neustart behoben sein? Kleine Unstimmigkeit mit Combofix? Ich mach jetzt erst mal den MBRCheck. |
Ja, nach CF bitte den Rechner neustarten, wenn CF das nicht selbst tut. |
MBR-Check. "Found non-standard or infected MBR. Enter 'y' for more options or 'n' ... to exit" . Wenn ich "no" und Exit wähle, finde ich keine txt-Datei auf dem Desktop. Wenn ich "yes" wähle, habe ich die Options 1: Dump the MBR of a physical disk to file. 2: Restore the MBR of a physical disk with a standard boot code. 3: Exit Soll ich hier wählen? Und wenn ja, was? Gruß, Marion |
Das Log landet im selben Ordner, in dem auch die MBRcheck.exe ist |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:33 Uhr. |
Copyright ©2000-2025, Trojaner-Board