AVIRA meldet 'TR/Crypt.ZPACK.Gen8' (C:\System Volume Information\_restore{...}\RP353\A0103375.exe)

t'john · 11.02.2013, 01:27

Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 3 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern melde dies bitte.

1. Schritt

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
Der Fix fängt mit :OTL an. Vergewissere dich, dass du ihn richtig kopiert hast.

Code:

ATTFilter

:OTL

IE - HKU\S-1-5-21-1409082233-527237240-1417001333-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.zonealarm.com/?Source=Homepage&oemCode=ZLN17927737197970-1025&toolbarId=base&affiliateId=1025&Lan=de&utid=408598d2000000000000002713c23f32 
IE - HKU\S-1-5-21-1409082233-527237240-1417001333-1004\..\SearchScopes\{7F3F57B0-9DFE-48F9-9B50-53D909AF162C}: "URL" = http://search.zonealarm.com/search?Source=Browser&oemCode=ZLN17927737197970-1025&toolbarId=base&affiliateId=1025&Lan=de&utid=408598d2000000000000002713c23f32&q={searchTerms}&r=421 
FF - prefs.js..browser.startup.homepage: "http://search.zonealarm.com/?Source=Homepage&oemCode=ZLN17927737197970-1025&toolbarId=base&affiliateId=1025&Lan=de&utid=408598d2000000000000002713c23f32" 
FF - prefs.js..extensions.enabledItems: ffxtlbr@zonealarm.com:1.6.0 
FF - prefs.js..keyword.URL: "http://search.zonealarm.com/search?Source=Browser&oemCode=ZLN17927737197970-1025&toolbarId=base&affiliateId=1025&Lan=de&utid=408598d2000000000000002713c23f32&q={searchTerms}" 
O2 - BHO: (Zonealarm Helper Object) - {2A841F7A-A014-4DA5-B6D9-8B913DFB7A8C} - C:\Programme\Check Point Software Technologies LTD\zonealarm\1.6.7.4\bh\zonealarm.dll (Montera Technologeis LTD) 
O2 - BHO: (ZoneAlarm Security Engine Registrar) - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies) 
O3 - HKLM\..\Toolbar: (ZoneAlarm Security Toolbar) - {438FAE3E-BDEF-44D3-AB8B-0C7C8350DF59} - C:\Programme\Check Point Software Technologies LTD\zonealarm\1.6.7.4\zonealarmTlbr.dll (Montera Technologeis LTD) 
O3 - HKLM\..\Toolbar: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies) 
O3 - HKU\S-1-5-21-1409082233-527237240-1417001333-1004\..\Toolbar\WebBrowser: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies) 
O3 - HKU\S-1-5-21-1409082233-527237240-1417001333-1004\..\Toolbar\WebBrowser: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies) 
@Alternate Data Stream - 108 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:CB0AACC9 

:Files 
C:\ProgramData\*.exe
C:\ProgramData\*.dll
C:\ProgramData\*.tmp
C:\ProgramData\TEMP
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.exe
C:\Dokumente und Einstellungen\Nadine\Anwendungsdaten\*.exe
C:\Dokumente und Einstellungen\Nadine\Lokale Einstellungen\Anwendungsdaten\*.exe
C:\Dokumente und Einstellungen\Nadine\Lokale Einstellungen\Anwendungsdaten\*.tmp
C:\Dokumente und Einstellungen\Nadine\Lokale Einstellungen\Temp\*.exe
C:\Dokumente und Einstellungen\Nadine\*.exe
C:\Dokumente und Einstellungen\Nadine\Startmenü\Programme\Autostart\ctfmon.lnk
C:\Dokumente und Einstellungen\Nadine\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\
ipconfig /flushdns /c
:Commands
[emptytemp]

Schließe alle Programme.
Klicke auf den Fix Button.
Wenn OTL einen Neustart verlangt, bitte zulassen.
Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

2. Schritt
Downloade dir bitte

Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

Starte bitte die mbar.exe.
Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
Klicke auf den CleanUp Button und erlaube den Neustart.
Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
Nach dem Neustart starte die mbar.exe erneut.
Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

danach:

3. Schritt
Downloade dir bitte

aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS-Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

pokerology · 11.02.2013, 14:26

abermals vielen dank fuer die schnelle antwort!

OTL-Fix-log:

Code:

ATTFilter

All processes killed
========== OTL ==========
HKU\S-1-5-21-1409082233-527237240-1417001333-1004\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-1409082233-527237240-1417001333-1004\Software\Microsoft\Internet Explorer\SearchScopes\{7F3F57B0-9DFE-48F9-9B50-53D909AF162C}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7F3F57B0-9DFE-48F9-9B50-53D909AF162C}\ not found.
Prefs.js: "hxxp://search.zonealarm.com/?Source=Homepage&oemCode=ZLN17927737197970-1025&toolbarId=base&affiliateId=1025&Lan=de&utid=408598d2000000000000002713c23f32" removed from browser.startup.homepage
Prefs.js: ffxtlbr@zonealarm.com:1.6.0 removed from extensions.enabledItems
Prefs.js: "hxxp://search.zonealarm.com/search?Source=Browser&oemCode=ZLN17927737197970-1025&toolbarId=base&affiliateId=1025&Lan=de&utid=408598d2000000000000002713c23f32&q={searchTerms}" removed from keyword.URL
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2A841F7A-A014-4DA5-B6D9-8B913DFB7A8C}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2A841F7A-A014-4DA5-B6D9-8B913DFB7A8C}\ deleted successfully.
C:\Programme\Check Point Software Technologies LTD\zonealarm\1.6.7.4\bh\zonealarm.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3}\ deleted successfully.
C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{438FAE3E-BDEF-44D3-AB8B-0C7C8350DF59} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438FAE3E-BDEF-44D3-AB8B-0C7C8350DF59}\ deleted successfully.
C:\Programme\Check Point Software Technologies LTD\zonealarm\1.6.7.4\zonealarmTlbr.dll moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107}\ deleted successfully.
File C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll not found.
Registry value HKEY_USERS\S-1-5-21-1409082233-527237240-1417001333-1004\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107}\ not found.
File C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll not found.
Registry value HKEY_USERS\S-1-5-21-1409082233-527237240-1417001333-1004\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107}\ not found.
File C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll not found.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:CB0AACC9 deleted successfully.
========== FILES ==========
File\Folder C:\ProgramData\*.exe not found.
File\Folder C:\ProgramData\*.dll not found.
File\Folder C:\ProgramData\*.tmp not found.
File\Folder C:\ProgramData\TEMP not found.
File\Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.exe not found.
File\Folder C:\Dokumente und Einstellungen\Nadine\Anwendungsdaten\*.exe not found.
File\Folder C:\Dokumente und Einstellungen\Nadine\Lokale Einstellungen\Anwendungsdaten\*.exe not found.
File\Folder C:\Dokumente und Einstellungen\Nadine\Lokale Einstellungen\Anwendungsdaten\*.tmp not found.
C:\Dokumente und Einstellungen\Nadine\Lokale Einstellungen\Temp\card_setup.exe moved successfully.
C:\Dokumente und Einstellungen\Nadine\Lokale Einstellungen\Temp\DataCard_Setup.exe moved successfully.
C:\Dokumente und Einstellungen\Nadine\Lokale Einstellungen\Temp\FP_AX_MSI_INSTALLER.exe moved successfully.
C:\Dokumente und Einstellungen\Nadine\Lokale Einstellungen\Temp\FP_PL_MSI_INSTALLER.exe moved successfully.
C:\Dokumente und Einstellungen\Nadine\Lokale Einstellungen\Temp\FP_PL_PFS_INSTALLER.exe moved successfully.
C:\Dokumente und Einstellungen\Nadine\Lokale Einstellungen\Temp\MSETUP4.EXE moved successfully.
C:\Dokumente und Einstellungen\Nadine\Lokale Einstellungen\Temp\ResetDevice.exe moved successfully.
C:\Dokumente und Einstellungen\Nadine\Lokale Einstellungen\Temp\setup.exe moved successfully.
C:\Dokumente und Einstellungen\Nadine\Lokale Einstellungen\Temp\SkypeSetup.exe moved successfully.
File\Folder C:\Dokumente und Einstellungen\Nadine\*.exe not found.
File\Folder C:\Dokumente und Einstellungen\Nadine\Startmenü\Programme\Autostart\ctfmon.lnk not found.
Folder C:\Dokumente und Einstellungen\Nadine\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache not found.
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Auflösungscache wurde geleert.
C:\Dokumente und Einstellungen\Nadine\Desktop\cmd.bat deleted successfully.
C:\Dokumente und Einstellungen\Nadine\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 2193320 bytes
->Temporary Internet Files folder emptied: 4361052 bytes
 
User: Nadine
->Temp folder emptied: 867493121 bytes
->Temporary Internet Files folder emptied: 47925622 bytes
->Java cache emptied: 1354883 bytes
->FireFox cache emptied: 40885943 bytes
->Google Chrome cache emptied: 258891258 bytes
->Opera cache emptied: 54095908 bytes
->Flash cache emptied: 186709 bytes
 
User: NetworkService
->Temp folder emptied: 2130360 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2366775 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 42405625 bytes
RecycleBin emptied: 7038872441 bytes
 
Total Files Cleaned = 7.976,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 02112013_141833

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

malwarebytes anti rootkit found 2 infections and cleaned them up. it didnt want a restart so i restarted myself. the second scan didnt bring anything new... im still posting both logs...

MBAR-SCAN1-Log:

Code:

ATTFilter

Malwarebytes Anti-Rootkit BETA 1.01.0.1020
www.malwarebytes.org

Database version: v2013.02.11.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Nadine :: NOFUDAT [administrator]

11.02.2013 14:40:51
mbar-log-2013-02-11 (14-40-51).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled: 
Objects scanned: 26345
Time elapsed: 10 minute(s), 15 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 2
HKLM\SOFTWARE\CLASSES\lnkrdr.AIEbho (Trojan.Agent) -> Delete on reboot.
HKLM\SOFTWARE\CLASSES\lnkrdr.AIEbho.1 (Trojan.Agent) -> Delete on reboot.

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)

MBAR-SCAN2-LOG:

Code:

ATTFilter

Malwarebytes Anti-Rootkit BETA 1.01.0.1020
www.malwarebytes.org

Database version: v2013.02.11.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Nadine :: NOFUDAT [administrator]

11.02.2013 14:58:50
mbar-log-2013-02-11 (14-58-50).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled: 
Objects scanned: 26330
Time elapsed: 10 minute(s), 6 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)

aswmbr folgt sogleich

so hier das ASW-LOG:

Code:

ATTFilter

aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software
Run date: 2013-02-11 15:27:35
-----------------------------
15:27:35.093    OS Version: Windows 5.1.2600 Service Pack 3
15:27:35.093    Number of processors: 2 586 0x301
15:27:35.093    ComputerName: NOFUDAT  UserName: Nadine
15:27:35.281    Initialize success
15:29:34.656    AVAST engine defs: 13021100
15:31:37.140    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
15:31:37.140    Disk 0 Vendor: WDC_WD3200BEKT-60V5T1 12.01A12 Size: 305245MB BusType: 3
15:31:37.156    Disk 0 MBR read successfully
15:31:37.156    Disk 0 MBR scan
15:31:37.203    Disk 0 unknown MBR code
15:31:37.203    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS        49999 MB offset 63
15:31:37.218    Disk 0 Partition 2 00     83        Linux             47683 MB offset 102400000
15:31:37.250    Disk 0 Partition 3 00     82   Linux swap              1907 MB offset 200054784
15:31:37.250    Disk 0 Partition - 00     0F Extended LBA            205652 MB offset 203960320
15:31:37.265    Disk 0 Partition 4 00     07    HPFS/NTFS NTFS       205652 MB offset 203960383
15:31:37.281    Disk 0 scanning sectors +625137345
15:31:37.359    Disk 0 scanning C:\WINDOWS\system32\drivers
15:31:45.171    Service scanning
15:31:58.281    Modules scanning
15:32:01.437    Disk 0 trace - called modules:
15:32:01.453    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS 
15:32:01.453    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8a215ab8]
15:32:01.468    3 CLASSPNP.SYS[f74c7fd7] -> nt!IofCallDriver -> \Device\0000007a[0x8a2219e8]
15:32:01.468    5 ACPI.sys[f735d620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x8a251940]
15:32:01.875    AVAST engine scan C:\WINDOWS
15:32:05.859    AVAST engine scan C:\WINDOWS\system32
15:34:01.250    AVAST engine scan C:\WINDOWS\system32\drivers
15:34:11.140    AVAST engine scan C:\Dokumente und Einstellungen\Nadine
15:38:11.453    AVAST engine scan C:\Dokumente und Einstellungen\All Users
15:39:07.453    Scan finished successfully
15:41:15.812    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Nadine\Desktop\MBR.dat"
15:41:15.843    The log file has been saved successfully to "C:\Dokumente und Einstellungen\Nadine\Desktop\aswMBR.txt"

okay das soweit ersteinmal von mir.
nochmals vielen dank für die tolle hilfe bis jetzt.
beste grüsse
pokerology

AVIRA meldet 'TR/Crypt.ZPACK.Gen8' (C:\System Volume Information\_restore{...}\RP353\A0103375.exe)

Plagegeister aller Art und deren Bekämpfung: AVIRA meldet 'TR/Crypt.ZPACK.Gen8' (C:\System Volume Information\_restore{...}\RP353\A0103375.exe)

AVIRA meldet 'TR/Crypt.ZPACK.Gen8' (C:\System Volume Information\_restore{...}\RP353\A0103375.exe)

AVIRA meldet 'TR/Crypt.ZPACK.Gen8' (C:\System Volume Information\_restore{...}\RP353\A0103375.exe)

Ähnliche Themen: AVIRA meldet 'TR/Crypt.ZPACK.Gen8' (C:\System Volume Information\_restore{...}\RP353\A0103375.exe)