|
Hilfe! Trojaner TR/Crypt.XPACK.Gen und TR/Dropper.Gen Hallo, seit einiger Zeit bekomme ich von Avira Antivir die Meldungen, dass Trojaner mit den Namen TR/Crypt.XPACK.Gen und TR/Dropper.Gen gefunden werden. Ich habe von Bekannten gehört, dass es sich dabei auch um Rootkits handeln könnte, da sich die Trojaner anscheinend in versteckten Dateien rumtreiben und ich versteckte Dateien und Ordner bei mir auch nicht mehr sichtbar kriege. Ich habe mich grundsätzlich schonmal für eine völlige Neuinstallation meines Betriebssystems entschieden, allerdings habe ich das noch nicht ausgeführt, da ich zur Sicherung meiner Dateien eine externe Festplatte verwende und nun gehört habe, dass sich der Trojaner ja auch da festsetzen könnte und dann wiederum nach kompletter Neuinstallation von der externen Festplatte auf den Computer gelangen kann. Meine Frage also: Wie kann ich das verhindern??? Wie werde ich die Trojaner endgültig los??? Ich hoffe dass ich alles soweit korrekt ausgeführt habe und ihr mir helfen könnt. Vielen Dank schonmal im Voraus. Hier mein MalwareBytes Logfile: Laufzeit: 1 hour(s), 10 minute(s), 28 second(s) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 2 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 4 Infizierte Speicherprozesse: C:\WINDOWS\AhnRpta.exe (Trojan.Backdoor) -> Unloaded process successfully. Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{bb4c402f-882a-4526-8c08-51278ea437c1} (Spyware.OnlineGames) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{bb4c402f-882a-4526-8c08-51278ea437c1} (Spyware.OnlineGames) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cdoosoft (Spyware.OnlineGames) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\e8main0.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully. C:\WINDOWS\system32\olhrwef.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Iche\Lokale Einstellungen\Temp\herss.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully. C:\WINDOWS\AhnRpta.exe (Trojan.Backdoor) -> Quarantined and deleted successfully. Und hier mein Random/Random Logfile: http://www.file-upload.net/download-1796943/log_randomrandom.txt.html (War zu lang um's direkt hier zu posten) |
Code: Logfile of random's system information tool 1.06 (written by random/random) |
Code: ======Scheduled tasks folder====== |
Code: ======List of files/folders created in the last 1 months====== |
Hallo und Herzlich Willkommen! :) Zitat:
- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: 1. Lade das SDFix von AndyManchesta eine der folgenden Links herunter: bleepingcomputer.com andymanchesta.com 2. auf deinem Desktop speichern 3. per Doppelklick SDFix.exe starten 4. wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken 5. starte den Rechner im abgesicherten Modus - die Taste [F8] drücken, bevor das Windows-Logo angezeigt wird 6. öffne den neu entstandenen SDFix Ordner 7. mit einem Doppelklick auf die RunThis.bat kannst Du das Skript starten 8. gib ein Y ein, um den Reinigungsprozess zu beginnen 9. nun wirst Du aufgefordert, eine beliebige Taste zu drücken, damit dein Rechner neu aufstarten kann 10. nachdem Neustart, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen. 11. nachdem der Lauf beendet ist - Finished - drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden - Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern. Kopiere den Inhalt dieses Report.txt und poste ihn! 2. Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org
3. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 4. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 5. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool ccleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post: → vor dein log schreibst du:[code] hier kommt dein logfile rein → dahinter:[/code] ** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw gruß Coverflow |
Hallo, und gleich mal vielen Dank für die schnelle Antwort. Auf Online-Banking und Filesharing verzichte ich natürlich während ich dieses Ding noch aufm PC hab. Ich habe jetzt also mal Schritt für Schritt alles gemacht...hat etwas gedauert, aber ich hoffe, es hilft dir weiter, mir zu helfen :-). SDFix-Report: Code: SDFix: Version 1.240 Code: Malwarebytes' Anti-Malware 1.39 |
...und weiter geht's: filelist-logfile: Code: ----- Root ----------------------------- |
...und noch die CCleaner-Programmübersicht: Code: Ad-Aware |
hi → besuche die Seite von virustotal und die Dateien aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren: Code: C:\mb9x.exe→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox) → "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist → das Ergebnis wie Du es bekommst da reinkoperen (inklusive Dateigröße und Name, MD5 und SHA1): |
C:\mb9x.exe Code: Antivirus Version letzte aktualisierung ErgebnisCode: Antivirus Version letzte aktualisierung Ergebnis |
C:\8dtyjjf.exe Code: Antivirus Version letzte aktualisierung ErgebnisCode: Antivirus Version letzte aktualisierung Ergebnis |
C:\w9hw8.exe Code: Antivirus Version letzte aktualisierung ErgebnisCode: Antivirus Version letzte aktualisierung ErgebnisCode: Antivirus Version letzte aktualisierung Ergebnis |
C:\WINDOWS\system32\yuqomtr Code: Antivirus Version letzte aktualisierung ErgebnisCode: Antivirus Version letzte aktualisierung Ergebnis |
hi Bevor wir weiterfahren, möchte ich dein System noch nach Rootkits checken lassen: 1. Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! 2. Lade und installiere das Tool RootRepeal herunter - setze einen Hacken bei: "Drivers", "Stealth Objects" und "Hidden Services" dann klick auf "OK" - nach der Scan, klick auf "Save Report" - speichere das Logfile als RootRepeal.txt auf dem Desktop und Kopiere den Inhalt hier in den Thread |
Hallo, habe getan wie mir geheißen :-)...allerdings hat das GMER-Programm nach einiger Zeit immer aufgrund eines Fehlers abgebrochen ("Es wurde versucht, Daten in einen schreibgeschützten Speicherbereich zu schreiben", die Datei amkovcsk.sys habe das verursacht). Habe es ein paarmal probiert, auch im abgesicherten Modus, kam aber immer wieder der Fehler. Poste hier mal, was GMER bis dahin ausgespuckt hat: Code: GMER 1.0.15.15011 [8ztsnwlc.exe] - http://www.gmer.net |
...weiter gehts: Code: Library \\?\globalroot\systemroot\system32\kungsfhkanjywe.dll (*** hidden *** ) @ C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [164] 0x10000000 |
Und noch das RootRepeal-Logfile. (Gab für Drivers, Stealth Objects und Hidden Services je eins extra): Code: ROOTREPEAL (c) AD, 2007-2009 |
...und weiter Code: Name: lirsgt.sys |
hi - Meine Vermutung hat sich bestätigt, ausser dass dein Rechner mit Malware infiziert ist, zusätzlich sich ein Rootkit auch bei Dir eingenistet hat - Da eine hundertprozentige Erkennung von Rootkits unmöglich ist, ist die beste Methode wäre zur Entfernung : die Neuinstallation des kompletten Systems Falls Du trotz allem weiter machen möchtest: 1. - Kopiere den Text aus der Code-Box in ein Notepad-Dokument und speichere ihn als remove.txt auf deiner Festplatte C:\ Code: Drivers to disable:→ die avenger.exe per Doppelklick starten → füge den Inhalt aus der Codebox vollständig und unverändert in das leere Textfeld bei "Input script here" ein → dann klicke auf "Execute" → wirst Du gefragt, ob Du das Script ausführen willst. Beantworte die Frage "Ja". → auf die Fragae ob dein Rechner jetzt neu starten soll "Rebot now" bejahe bitte auch → nach Neustart wird ein Dos Fenster aufgehen. → wenn wieder geschlossen ist, es öffnet sich der Editor mit die Scanergebnisse : C:\avenger.txt → kopiere und füge den Inhalt direkt aus der Textdatei hier rein - **- Wenn Avenger nicht ausgeführt werden kann (ein Rootkit kann es verhindern), benenne "avenger.exe" um in arnie1.com und versuche es erneut. 2. poste erneut: Trend Micro HijackThis-Logfile hjtscanlist |
Hallo, man das klingt ja böse mit dem Rootkit...aber dann werde ich wohl doch mein System komplett neu aufsetzen. Allerdings bleibt da immer noch mein Problem, dass meine externe Festplatte, auf der ich gern meine Daten sichern möchte, bereits ja auch schon von Trojanern befallen wurde. Und ich kann die ja nicht einfach löschen, da die Trojaner-Dateien ja immer versteckt sind. Hast du vielleicht einen Tipp, wie ich die Festplatte so sauber kriege, dass nach dem Neuaufsetzen des Systems nicht wieder alle Trojaner über die Festplatte meinen PC infiltrieren können? Schönen Abend noch und danke für die Hilfe!!! |
hi **Variant 1: Ich würde auch trotz großer Aufwand einfach mal vorschlagen, dass wir uns mal versuchen dein System mit eingezogen Externe Speichermedien wie USB-Stick etc einigermaße hinzukriegen, danach kannst Du Daten sichern, formatieren und eine Neuinstallation durchführen **Variant 2: Knoppix oder irgendeine LiveCD verwenden bzw herunterladen und Image auf CD brennen, anschließend davon booten (da auch mit eingezogen Externe Speichermedien wie USB-Stick) Und dann hoffen, dass damit auch alle unbekannte Dateien etc verschwinden. - Aber ich denke, danach einen Kontrollcheck sollte nicht erspart bleiben ;) ** Unabhängig von deiner Entscheidung, Du könntest aber noch anderen gutes tun zwar: ich möchte auf jeden Fall die schädliche Dateien zum Hersteller von Antiviren-Software weiterleiten, damit sie in die Signaturen aufgenommen werden können bzw zur weitere Analyse 1. also Avenger verwenden wie beschrieben-> http://www.trojaner-board.de/75888-hilfe-trojaner-tr-crypt-xpack-gen-und-tr-dropper-gen-2.html#post453045 2. dann das Backup v. Avenger (mit die gelöschten Dateien) hochladen - den Link und Anweisung gebe ich Dir unmittelbar nach dem Löschvorgang) |
Guten Tag, bin ganz neu hier =) Sorry, dass ich diesen doch etwas veralteten Thread wieder auferlebe :heilig: Aber ich habe genau das gleiche Problem mit der externen Festplatte... Da ich mir sowieso bald einen neuen PC zulege und per-se nie Online Banking o.ä. betreibe, geht es mir weniger um die Reinigung meines alten PCs (der sowieso dann irgendwo abgestellt wird ^^") als um die meiner externen Festplatte. Über WinSCP und Filezilla sehe ich, dass sich die Executables mit den sinnlosen Namen immer wieder neu bilden nach der Löschung durch Windows... Werde gleich mal mit dem hier empfohlenen Avenger probieren. mfg |
hallo.. ich habe gesehen du hast das spiel Chocolatier® 2: Secret Ingredients und ich wollte fragen ob du mir das schiken köntest es wääre ein sehr grosser gefalle... Liiebe Grüsse valeria:huepp::huepp: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:19 Uhr. |
Copyright ©2000-2025, Trojaner-Board