Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojan.Crypt.EFC!E2 gefunden, Gmen findet System32\config\system nicht

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 11.08.2012, 11:53   #1
hilab
 
Trojan.Crypt.EFC!E2 gefunden, Gmen findet System32\config\system nicht - Standard

Trojan.Crypt.EFC!E2 gefunden, Gmen findet System32\config\system nicht



Hallo Ihr Cracks,

bisher konnte ich alle Infektionen dank dieses Superboards nur durch nachlesen reparieren. Danke. Aber heute hat eine Freundin mir ein System gezeigt, wo ich mit nicht ohne Hilfe dran will. Der Rechner kommt aus der Schweiz, als letztes wollte der Admin Kapersky Anti Virus installieren, bricht jedesmal mit Fatalem Error ab. Dann hat er Malwarebytes und Emisoft Anti malware installiert, dabei wurden wohl einige Funde gemacht, danach hat er aber beide Programme wieder deinstalliert, versucht Kaspersky zu instalieren > Fateler Error.

Ich habe jetzt einen Quickscan mit OTL gemacht, Text unten.

Danach GMER gestartet, bringt aber nur Fehlermeldungen:
1. ....\system32\config\system
Das System kann di angegebene Datei nicht finden.

2. .....users\admin\nt.user.dat
der Prozess kann nicht zugreifen, da von einem anderen Prozess benutzt.

Wie kann ich jetzt weitere Info ziehen?
Im Voraus vielen Dank.
Angehängte Dateien
Dateityp: txt OTL.Txt (89,7 KB, 1180x aufgerufen)

Alt 15.08.2012, 09:09   #2
hilab
 
Trojan.Crypt.EFC!E2 gefunden, Gmen findet System32\config\system nicht - Standard

Trojan.Crypt.EFC!E2 gefunden, Gmen findet System32\config\system nicht



Hallo Cracks,

nachdem ich GMER starten konnte, hier das Log:

GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-08-15 08:56:46
Windows 6.1.7601 Service Pack 1 
Running: q9vqxdem.exe


---- Services - GMER 1.0.15 ----

Service  C:\SystemRoot\System32\Drivers\ea457e6e44a65518.sys (*** hidden *** )  [BOOT] ea457e6e44a65518                             <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg      HKLM\SYSTEM\CurrentControlSet\services\ea457e6e44a65518@ImagePath      \SystemRoot\System32\Drivers\ea457e6e44a65518.sys
Reg      HKLM\SYSTEM\CurrentControlSet\services\ea457e6e44a65518@Group          Boot Bus Extender
Reg      HKLM\SYSTEM\CurrentControlSet\services\ea457e6e44a65518@ErrorControl   0
Reg      HKLM\SYSTEM\CurrentControlSet\services\ea457e6e44a65518@Type           1
Reg      HKLM\SYSTEM\CurrentControlSet\services\ea457e6e44a65518@Start          0
Reg      HKLM\SYSTEM\CurrentControlSet\services\ea457e6e44a65518@Tag            1
Reg      HKLM\SYSTEM\CurrentControlSet\services\ea457e6e44a65518@DisplayName    lapqeteazore.exe
Reg      HKLM\SYSTEM\ControlSet002\services\ea457e6e44a65518@ImagePath          \SystemRoot\System32\Drivers\ea457e6e44a65518.sys
Reg      HKLM\SYSTEM\ControlSet002\services\ea457e6e44a65518@Group              Boot Bus Extender
Reg      HKLM\SYSTEM\ControlSet002\services\ea457e6e44a65518@ErrorControl       0
Reg      HKLM\SYSTEM\ControlSet002\services\ea457e6e44a65518@Type               1
Reg      HKLM\SYSTEM\ControlSet002\services\ea457e6e44a65518@Start              0
Reg      HKLM\SYSTEM\ControlSet002\services\ea457e6e44a65518@Tag                1
Reg      HKLM\SYSTEM\ControlSet002\services\ea457e6e44a65518@DisplayName        lapqeteazore.exe

---- EOF - GMER 1.0.15 ----
         
--- --- ---


Für eine Antwort bin ich dankbar.
hilab

Hallo Cracks,
habe jetzt mal aswMBR scannen lassen, hier das LOG:

Code:
ATTFilter
 aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-08-15 09:13:42
-----------------------------
09:13:42.851    OS Version: Windows x64 6.1.7601 Service Pack 1
09:13:42.851    Number of processors: 12 586 0x2C02
09:13:42.851    ComputerName: xxxx  UserName: xxxx
09:13:42.991    Initialze error C0000001 - driver not loaded
09:13:51.068    Service scanning
09:13:51.863    Service ea457e6e44a65518 C:\Windows\System32\Drivers\ea457e6e44a65518.sys **HIDDEN**
09:13:52.238    Service MSICDSetup D:\CDriver64.sys **LOCKED** 21
09:13:53.595    Modules scanning
09:13:53.595    Disk 0 trace - called modules:
09:13:53.595    
09:13:53.595    Scan finished successfully
09:14:45.247    The log file has been saved successfully to "H:\aswMBRLog.txt"
         
Warum wurde der Treiber nicht geladen, und trotzdem etwas gefunden?

Danke im Voraus
hilab
__________________


Alt 15.08.2012, 15:44   #3
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan.Crypt.EFC!E2 gefunden, Gmen findet System32\config\system nicht - Standard

Trojan.Crypt.EFC!E2 gefunden, Gmen findet System32\config\system nicht



Zitat:
Dann hat er Malwarebytes und Emisoft Anti malware installiert, dabei wurden wohl einige Funde gemacht, danach hat er aber beide Programme wieder deinstalliert,
Sind die Logs noch da?

Schau mal nach ob die Logs noch hier zu sehen sind in Form von Textdateien. Damit du die Ordner auch siehst das hier VORHER umsetzen!! => http://www.trojaner-board.de/59624-a...-sichtbar.html

Hauptlogs nach Scans (Quick, Full oder Flash):
  • XP:
    C:\Dokumente und Einstellungen\(USER)\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\Logs\mbam-log-yyyy-mm-dd.txt

  • Vista, Windows 7, 2008:
    C:\Users\(USER)\AppData\Roaming\Malwarebytes\Malwarebytes' Anti-Malware\Logs\mbam-log-yyyy-mm-dd.txt
__________________
__________________

Alt 15.08.2012, 18:06   #4
hilab
 
Trojan.Crypt.EFC!E2 gefunden, Gmen findet System32\config\system nicht - Standard

Trojan.Crypt.EFC!E2 gefunden, Gmen findet System32\config\system nicht



Hallo cosinus,

danke für Deine Antwort. Habe den Rechner nach den Log durchsucht, und eine Emisoft logdatei in dem Dukomentenordner gefunden:

Code:
ATTFilter
 Emsisoft Anti-Malware - Version 6.6
Letztes Update: 10.08.2012 13:09:22

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\, F:\, G:\
Archiv Scan: An
ADS Scan: An

Scan Beginn:	10.08.2012 13:09:32

C:\Windows\Installer\{b8b4be96-c137-6ce9-e933-0c4ed1107d1c}\U\00000001.@ 	gefunden: Trojan.Crypt.EFC!E2
C:\Users\Admin\AppData\Local\Temp\4302109\bases\arkmon.kdl 	gefunden: Virus.Win32.Malware!E2

Gescannt	858411
Gefunden	2

Scan Ende:	10.08.2012 14:39:04
Scan Zeit:	1:29:32

C:\Users\Admin\AppData\Local\Temp\4302109\bases\arkmon.kdl	Quarantäne Virus.Win32.Malware!E2
C:\Windows\Installer\{b8b4be96-c137-6ce9-e933-0c4ed1107d1c}\U\00000001.@	Quarantäne Trojan.Crypt.EFC!E2

Quarantäne	2
         
und auch einen Malwarebytes Log:

Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.10.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Admin :: xxxx [Administrator]

Schutz: Deaktiviert

10.08.2012 11:10:24
mbam-log-2012-08-10 (11-10-24).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|G:\|H:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 581364
Laufzeit: 29 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Regedit32 (Trojan.Agent) -> Daten: C:\Windows\system32\regedit.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Windows\System32\regedit.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         
Am Samstag habe mal das TDSS rootkit removing tool über den Rechner laufen lassen: Hier das lange LOG, am Ende stehen 10 Fünde von nichtsignierten Dateien, ich habe nichts gelöscht:

Zu Groß, habs unten angehängt.

Und heute morgen habe ich dann das Sophos Virus Rmoval Tool angeschmissen. Es hat mir ebenfalls die 10 unsignierten Dateien aber auch noch eine Datei mit Zahlenfolge als Namen als Lapqeteazore.exe indetifiziert.

Es gab nur die Wahl zwischen skip und löschen. Da ich bis dahin noch keine Nachricht vom Board hatte, habe ich Sie gelöscht. Es gab in dem Tool keine Möglichkeit ein Log zu sichern.

Habe das Tool dann nochmal laufen lassen, als ich eben kam, meldete er Your Computer is clean; DAS ICH NICHT LACHE.

Ich könnte ja mal Versuchen Kapersky Anti Virus zu Installieren, warte aber jetzt erstmal auf Deine Antwort.

Gruß und Danke
hilab

Alt 15.08.2012, 21:44   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan.Crypt.EFC!E2 gefunden, Gmen findet System32\config\system nicht - Standard

Trojan.Crypt.EFC!E2 gefunden, Gmen findet System32\config\system nicht



Log von Sophos und TDSS-Killer fehlen
Bitte keine solchen Tools mehr ohne Absprache benutzen

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 20.08.2012, 10:34   #6
hilab
 
Trojan.Crypt.EFC!E2 gefunden, Gmen findet System32\config\system nicht - Standard

Trojan.Crypt.EFC!E2 gefunden, Gmen findet System32\config\system nicht



Hallo Cosinus,

war ein paar Tage offline, danke für die Antwort. Habe dass Log von TDSS-Killer zwar hochgeladen, ist aber scheinbar nicht angekommen. Bin heute nachmittag wahrscheinlich beim Patienten, und schick die Datei dann.

Habe aber noch am Mittwoch kapersky installiert, und es hat ohne Probleme gefunzt. Habe einen Vollscan angeworfen, bin mal gespannt, was da rausgekommen ist. Spannender ist, das Heute eine gespiegelte Maschine aus der Schweiz kommt, auf der noch nicht rumgebastelt wurde. Ich interessiere mich nämlich für die Herkunft der Plagerei.

Werde den Rechner ohne Netz mal booten und dann berichten.
Danke auch für die weitere Hilfe.

hilab

Alt 21.08.2012, 12:36   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan.Crypt.EFC!E2 gefunden, Gmen findet System32\config\system nicht - Standard

Trojan.Crypt.EFC!E2 gefunden, Gmen findet System32\config\system nicht



Bei einem Patienten? Ist das ein Büro- bzw. Arztpraxis-PC?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Trojan.Crypt.EFC!E2 gefunden, Gmen findet System32\config\system nicht
admin, anderen, anti, config, datei, error, fehlermeldungen, freundin, gen, gestartet, gmer, heute, installieren, installiert, kaspersky, malwarebytes, programme, prozess, rechner, schweiz, system, system32, trojan.crypt.efc!e2, virus, ziehen



Ähnliche Themen: Trojan.Crypt.EFC!E2 gefunden, Gmen findet System32\config\system nicht


  1. WIN 7 Warnmeldung Dateipfad Windows\system32\config\systemprofile\Desktop nicht verfügbar
    Log-Analyse und Auswertung - 17.09.2015 (11)
  2. win xp system32/config/system fehlt
    Alles rund um Windows - 10.03.2013 (1)
  3. TR/Crypt.ZPACK.GEN8 in C:\Windows\System32\wmidxu.dll durch Avira gefunden und isoliert
    Plagegeister aller Art und deren Bekämpfung - 23.01.2013 (21)
  4. Worm.Win32.AutoRun.grs in C:\win\system32\config\systemprofile...
    Plagegeister aller Art und deren Bekämpfung - 03.01.2013 (12)
  5. AntiVir hat folgede Viren gefunden: TR/Crypt.ZPACK.Gen2' & 'TR/Crypt.XPACK.Gen5' [trojan
    Plagegeister aller Art und deren Bekämpfung - 26.09.2012 (33)
  6. EXP/Pidief.Csa.1.B in C:\Windows\System32\config\RegBack\COMPONENTS
    Log-Analyse und Auswertung - 22.11.2011 (6)
  7. Windows\system32\config\system
    Alles rund um Windows - 14.11.2011 (14)
  8. Textdokument mit dem Inhalt ''Backdoor:Win32/Rbot'' in C:\WINDOWS\system32\config\systemprofile
    Plagegeister aller Art und deren Bekämpfung - 20.09.2011 (25)
  9. Trojan.SpyEye.config-251 und Trojan.Generic.KD.227292
    Log-Analyse und Auswertung - 10.06.2011 (5)
  10. Trojaner gefunden, was nun? c:\Recycle.Bin\config.bin (Trojan.Spyeyes)
    Plagegeister aller Art und deren Bekämpfung - 30.05.2011 (10)
  11. TR/Crypt.ZPACK.Gen2 Trojan wurde von Avira gefunden c:\windows\system32\sshnaS21.dll
    Plagegeister aller Art und deren Bekämpfung - 31.03.2011 (1)
  12. Antivir findet Trojaner: "TR/Crypt.ZPACK.Gen in C:\WINDOWS\system32\drivers\vevemzh.sys
    Plagegeister aller Art und deren Bekämpfung - 19.06.2010 (7)
  13. Trojan TR/Crypt.XPACK.Gen2 in Windows\system32\srvdev.dll' und regrgwiz32.dll'
    Plagegeister aller Art und deren Bekämpfung - 18.06.2010 (12)
  14. /Windows/system32/config/system - Fehler mit Windows und beim Starten des PCs.
    Alles rund um Windows - 25.04.2010 (4)
  15. Antivir findet folgendes: 'TR/Crypt.XPACK.Gen' [trojan]
    Plagegeister aller Art und deren Bekämpfung - 14.10.2009 (1)
  16. MBAM findet Trojan.Agent in C:\Windows\System32\WinSys2.exe
    Log-Analyse und Auswertung - 04.05.2009 (7)
  17. c:/Windows/System32/config beschädigt
    Alles rund um Windows - 15.06.2007 (1)

Zum Thema Trojan.Crypt.EFC!E2 gefunden, Gmen findet System32\config\system nicht - Hallo Ihr Cracks, bisher konnte ich alle Infektionen dank dieses Superboards nur durch nachlesen reparieren. Danke. Aber heute hat eine Freundin mir ein System gezeigt, wo ich mit nicht ohne - Trojan.Crypt.EFC!E2 gefunden, Gmen findet System32\config\system nicht...
Archiv
Du betrachtest: Trojan.Crypt.EFC!E2 gefunden, Gmen findet System32\config\system nicht auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.