Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Crypt.EPACK.Gen2 auf C:\Doks und Einst.\...Adobe_Flash_Player.exe (https://www.trojaner-board.de/100383-tr-crypt-epack-gen2-c-doks-einst-adobe_flash_player-exe.html)

Merlinchen 15.06.2011 18:14

TR/Crypt.EPACK.Gen2 auf C:\Doks und Einst.\...Adobe_Flash_Player.exe
 
Hallo miteinander!

Seiten gibts im Internet heutzutage, unglaublich! Hätte nie gedacht, dass es ein Forum gibt, wo man sich hilfesuchend wegen Viren u.ä. wenden kann! Ich danke Euch für die Zeit, die Ihr dafür reinsteckt!

Folgendes: gestern abend während dem Surfen, platsch auf einmal, Bildschirm festgehangen und nach langem Warten und probieren, kam dann laut Antivir, dass ich oben genannten Virus hätte. Und dauernd Fehlermeldungen, so in der Art: Nicht genug Speicherplatz, System sollte dringend überprüft werden, Speicherkapazität (oder RAM) kritisch hoch etc. Und immer Aufforderung zum Neustart, was ich auch machte. Manchmal startete er auch von sich aus neu.
Das Problem war dann, nach dem Aufstarten, kohlenrabenschwarzer Bildschirm, keine!!! Desktop-Symbole mehr, auf Laufwerk C:\ alles leer. Explorer ging noch. Und immer wieder die autom. Meldung, dass ich diese Recovery-XP-Dingsbums kaufen müsste, sonst gehts nicht weiter. Hab ich aber nicht getan, sondern hier im Forum gelesen.
Danach dieses Malwarebytes-Programm runtergeladen und drüber laufen lassen (kenne mich echt schlecht mit Viren und co. aus). Weil das ja bis jetzt bei allen andern Usern auch stand, dass das immer gemacht werden sollte. Versehentlich recovery-CD mit-gescannt, daher einige Stunden gewartet ;-)
Zuerst Vollscan, dann einzelne Laufwerke mit Quick-Scan.
In der Anleitung stand, man solle "Defogger" und "OTL" downloaden als erstes. Doch bei "defogger" habe ich jetzt noch niemand gesehen, der etwas von diesem defogger gepostet hat (was nur Themen mit diesem Trojaner betrifft). Und das Programm sagte dann auch noch, nur starten wenn man sicher ist. Bin ich aber nicht. Daher abgebrochen.

Naja mein Problem ist jetzt, ich weiss nicht wie weiter. Ich habe immer noch keine Daten auf C:\, auch nach den ganzen Scans und beseitigen der Viren (auf D:\ war immer alles wie gehabt), alle Einstellungen hin, kann Programme nicht nutzen (nur Explorer und Internet Explorer). Die Daten sind mir nicht wichtig, da ich eh fast immer mit Stick arbeite und diese Daten auch immer wieder gesichert habe, aber eben die Einstellungen, und vorallem dass ich überhaupt mal wieder arbeiten kann! Wär schon schöööön :taenzer:

Also ich poste jetzt mal die ganzen Dateien vom Malwarebytes. Es sind ein paar. Ich hoffe ich habe nichts vergessen zu erwähnen was wichtig wäre, sonst bitte kurz nachfragen. Ich kenn mich mit Programmanwendung wohl aus, doch mich solchen Logdateien und so....tja :stirn:

Oder wärs vielleicht besser, alles grad neu aufzusetzen? So kompliziert dürfte das m.E. ja nicht sein, ich arbeite alleine auf diesem PC, als Admin, und sonst auch nicht so viele Programme... glaub ich jedenfalls.
Also auf gehts, ich hoffe auf eine Antwort von jemandem! So oder so, einen tiptop schönen Abend wünsche ich noch! :heilig:

Huch, vor lauter ausprobieren merke ich grade, Word funzt? Ordner "Programme" existiert auf C:\ zwar nicht, ist aber anscheinend trotzdem da :rofl: Coool.

Jetzt aber die Logdateien vom Malwarebytes:

2011-06-15 (15-46-38) 2.txt

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6860

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

15.06.2011 15:46:38
mbam-log-2011-06-15 (15-46-38).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 274846
Laufzeit: 2 Stunde(n), 42 Minute(n), 51 Sekunde(n)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
c:\dokumente und einstellungen\all users\anwendungsdaten\gkxdiroracmulo.exe (Trojan.FakeAlert) -> 632 -> Unloaded process successfully.
c:\dokumente und einstellungen\all users\anwendungsdaten\21421860.exe (Trojan.Agent) -> 1256 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FX - MOV Converter (Adware.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gkXdirORACMUlO (Trojan.FakeAlert) -> Value: gkXdirORACMUlO -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallPaper (PUM.Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop (PUM.Hidden.Desktop) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\all users\anwendungsdaten\gkxdiroracmulo.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Besitzer\lokale einstellungen\Temp\icreinstall\movconvertersetup.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{e138080d-4e40-4209-a480-a561a717c422}\RP101\A0024623.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\programme\foxtabvideoconverter\uninstall\uninstall.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\anwendungsdaten\21421860.exe (Trojan.Agent) -> Quarantined and deleted successfully.

mbam-log-2011-06-15 (15-46-38).txt

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6860

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

15.06.2011 15:46:38
mbam-log-2011-06-15 (15-46-38).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 274846
Laufzeit: 2 Stunde(n), 42 Minute(n), 51 Sekunde(n)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
c:\dokumente und einstellungen\all users\anwendungsdaten\gkxdiroracmulo.exe (Trojan.FakeAlert) -> 632 -> Unloaded process successfully.
c:\dokumente und einstellungen\all users\anwendungsdaten\21421860.exe (Trojan.Agent) -> 1256 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FX - MOV Converter (Adware.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gkXdirORACMUlO (Trojan.FakeAlert) -> Value: gkXdirORACMUlO -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallPaper (PUM.Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop (PUM.Hidden.Desktop) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\all users\anwendungsdaten\gkxdiroracmulo.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Besitzer\lokale einstellungen\Temp\icreinstall\movconvertersetup.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{e138080d-4e40-4209-a480-a561a717c422}\RP101\A0024623.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\programme\foxtabvideoconverter\uninstall\uninstall.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\anwendungsdaten\21421860.exe (Trojan.Agent) -> Quarantined and deleted successfully.

mbam-log-2011-06-15 (16-54-18).txt

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6860

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

15.06.2011 16:54:18
mbam-log-2011-06-15 (16-54-18).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 44198
Laufzeit: 43 Minute(n), 16 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\system volume information\_restore{e138080d-4e40-4209-a480-a561a717c422}\RP124\A0029902.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\system volume information\_restore{e138080d-4e40-4209-a480-a561a717c422}\RP124\A0029903.exe (Adware.Agent) -> Quarantined and deleted successfully.


mbam-log-2011-06-15 (16-55-55).txt

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6860

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

15.06.2011 16:55:55
mbam-log-2011-06-15 (16-55-55).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 84
Laufzeit: 11 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


mbam-log-2011-06-15 (16-59-09).txt


Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6860

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

15.06.2011 16:59:09
mbam-log-2011-06-15 (16-59-09).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 1156
Laufzeit: 2 Minute(n), 9 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


mbam-log-2011-06-15 (17-05-36).txt


Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6860

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

15.06.2011 17:05:36
mbam-log-2011-06-15 (17-05-36).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 5585
Laufzeit: 5 Minute(n), 50 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


mbam-log-2011-06-15 (17-53-26).txt


Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6860

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

15.06.2011 17:53:27
mbam-log-2011-06-15 (17-53-26).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 44385
Laufzeit: 47 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Was kann ich jetzt tun?
Es grüsst, Merlinchen

cosinus 16.06.2011 11:01

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT



Alle Zeitangaben in WEZ +1. Es ist jetzt 12:18 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131