Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner TR/Crypt.ZPACK.Gen und TR/Shutdowner.etd (https://www.trojaner-board.de/89794-trojaner-tr-crypt-zpack-gen-tr-shutdowner-etd.html)

Richard74 20.08.2010 22:07
Trojaner TR/Crypt.ZPACK.Gen und TR/Shutdowner.etd
 
Hi,

ich verwende Windows XP (aktuelles Service Pack) sowie Avira Antivir. Vor kurzem meldete Antivir die Erkennung eines Trojaners TR/Crypt.ZPACK.Gen unter "Lokale Einstellungen\Temp\" nach dem Klicken auf "Zugriff verweigern" stürzte der Computer ohne Warnung sofort ab (keine Fehlermeldung sofort schwarzer Bildschirm und Neustart). Seitdem kann man sich nicht mehr anmelden, d.h. wenn man im Anmeldebildschirm auf einen Nutzer klickt wartet man ca. 2 Sekunden dann wieder ohne Fehlermeldung schwarzer Bildschrim und Neustart. Im abgesicherten Modus lässt sich Windows jedoch starten. Dort habe ich den Browser Cache gelöscht und alle Temp Einträge die in den Zeitraum fielen. Antivir findet nun keinen Virus mehr, zeigt jedoch auch keinen Virus in der Quarantäne an. Weiterhin wurde noch ein anderer Virus "Trojaner TR/Shutdowner.etd" in C:/Dokumente und Einstellungen/****/Lokale Einstellungen/Anwendungsdaten/Windows Server/sphlp.dll gefunden. Die Signatur dieser Datei scheint Antivr seit gestern 19.09.2010 zu erkennen (laut Avira Seite), in dem besagten Ordner findet sich jedoch die Datei nicht (versteckt Ordner usw... werden angezeigt). Logfiles welche die Absturzursache in dem Zeitraum erklären könnten werden ebenfalls nicht angzeigt (unter Systemsteuerung->Verwaltung->Ereignsanzeige). Könnt ihr mir bitte helfen, wie ich weiter vorgehen soll?

Swisstreasure 20.08.2010 22:56
:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Unbootbares System mit OTLPE Network scannen
  • Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop.
    Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.
  • Starte das unbootbare System neu und boote von der CD, die Du gerade erstellt hast.
    Anmerkung: Wenn Du nicht weißt, wie Du Deinen Computer dazu bringst, von CD zu booten, dann folge diesen Schritten hier.
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.

    http://image.hijackthis.de/upload/hjt1-034.jpg
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt gesichert und mit Notepad++ geöffnet.
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt in diesen Thread.
Falls Du kein Brennprogramm hast:

ISOBurner
Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen.
Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Richard74 21.08.2010 15:13
Danke für die Antwort. Jedoch bringt es leider nichts mehr :( Windows ist jetzt im abgesicherten Modus stehen geblieben und die Festplatte fing an zu klicken und hört dann mit einem seltsamen Geräusch Sekunden später auf zu laufen. Vermutlich liegt es an der Elektronik oder direkt am Lese Schreibkopf. Unabhängig vom weiteren Vorgehen würde es mich jetzt jedoch interessieren ob das ein Virus anrichten kann. Kann man mit einem Virus die Elektronik der Festplatte derart manipulieren unter Windows XP?

Swisstreasure 22.08.2010 11:14
Also mechanisch wohl kaum. Es kann womöglich aufgrund der tiefe, in die sich die Malware eingränt zu einem Schaden kommane aber Systemtechnisch. Dass diese Befehle gibt so dass die Festpallte dann überlastet werden könnte. Aber genau weiss ich das auch nicht.


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:57 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19