Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Im Web "HTML/Crypted.Gen" gefunden -> gelöscht -> alles hinüber

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 05.12.2009, 21:37   #1
sinusknoten
 
Im Web "HTML/Crypted.Gen" gefunden -> gelöscht -> alles hinüber - Unglücklich

Im Web "HTML/Crypted.Gen" gefunden -> gelöscht -> alles hinüber



Hallo zusammen,

ich war heute auf der Seite meines Sanitärhandels,
dann kam plötzlich eine Meldung "Virus gefunden" usw.
Webseite"www.Wemashop." usw, "HTML/Crypted.Gen", ich habe dann löschen gedrückt (Fehler?):
- PC war dann tot, konnte nicht mehr runterfahren, habe ausgeschaltet
- dann ging er nicht mehr an, nur ein schwarzer Bildschirm und blinkender Cursor, habe also Windows XP neu drauf (und SP 2)
- kann jetzt leider keine SystemWiederHerstellung machen, alle SWH Punkte scheinen jetzt weg zu sein
PC läuft, aber geht beim DVD brennen nach 5 - 10 Minuten einfach aus, (Energieoption o.k.) Antivir 8 läßt sich nicht mehr updaten, findet auch kein Virus (2 Tage alte Version) und Antivir 9 läßt sich nicht installieren, die Installation bricht einfach ab.
Im Netz scheint der "HTML/Crypted.Gen" von niedriger Gefahr zu sin, und uralt. Komisch dass bei mir alles platt ist.
Auch den Threat von vor 2 Jahren habe ich gelesen; nach Board Empfehlung habe ich:
--HijackThis,
--CCleaner,
--Malwarebytes´
geladen und laufen lassen.

Der Malewarebytes läuft nur kurz an, geht sofort aus.
Ad Aware und Spybot haben auch nix gefunden
Und der Sanitärbetrieb, den ich angerufen habe, weiß daß da eine Meldung "Virus" kommt, "da ist aber keines drauf", sagt er; so und jetzt steh ich da.
Ein Bekannter hat auch auf die Seite geklickt, er bekommt die Meldung: "Trojaner, Verbindung trennen"
Darf der Sanitäre das so lassen?
Wie krieg ich meinen PC sauber?

Webseite:
h**p://www.google.de/url?sa=t&source=web&ct=res&cd=3&ved=0CBQQFjAC&url=http%3A%2F%2Fwww.wemashop.de%2F&rct=j&q=wema-shop&ei=WlEaS6zkFajGnAPT_-DOAw&usg=AFQjCNFKwzmrO3vvNW1a2vE9YCKxeSZsmg

HijackThis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:48:12, on 05.12.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Eigene Dateien\Eigene eBooks\HijackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: WEB.DE Screensaver Quick-Start.lnk.disabled
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI1933~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .PDF: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O15 - Trusted Zone: *.registration.sonystyle-europe.com (HKLM)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O24 - Desktop Component 0: (no name) - http://www.kfh-dialyse.de/dz_cnt/aktuelles/bg-aktuelles.gif

--
End of file - 4236 bytes

Wie geht´s weiter?

Alt 05.12.2009, 23:44   #2
sinusknoten
 
Im Web "HTML/Crypted.Gen" gefunden -> gelöscht -> alles hinüber - Standard

Im Web "HTML/Crypted.Gen" gefunden -> gelöscht -> alles hinüber



Ich habe mit eScan und find.bat was gefunden, und nun ?
Insgesamt 6 Meldungen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2008.03.07

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: Normal

eScan Version: 11.0.45
Sprache: German
C:\DOKUME~1\marliese\LOKALE~1\Temp\MWAV.LOG



~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\system32\wbem\wmitimep.dll ist durch den Virus "Exe.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei D:\Eigene Dateien\Eigene eBooks\zone alarm update\zlsSetup_70_337_000_de.exe ist durch den Virus "Trojan.Generic.79253 (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\wl.exe
Offending file found: C:\Dokumente und Einstellungen\marliese\Desktop\Internet.lnk
~~~~~~~~~~~
~~~~ Spyware (Vorsicht: Oft Fehlalarm!)
~~~~~~~~~~~
eScan-Antiviren- und Antispyware-Werkzeugsatz.
Antiviren- und Antispywaredatenbanken werden heruntergeladen...
Indexed Spyware Databases Successfully Created...
eScan-Antiviren- und Antispyware-Werkzeugsatz.
Scannen Spyware: Aktiviert
***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) geprüft *****
Indexed Spyware Databases Successfully Created...
System found infected with combo Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{3C78B8E2-6C4D-11D1-ADE2-0000F8754B99})! Action taken: Keine Maßnahme ergriffen.
System found infected with combo Spyware/Adware (wl.exe)! Action taken: Keine Maßnahme ergriffen.
System found infected with ezula Spyware/Adware (Internet.lnk)! Action taken: Keine Maßnahme ergriffen.
System found infected with combo Spyware/Adware (HKLM\SYSTEM\CurrentControlSet\Services\iprip)! Action taken: Keine Maßnahme ergriffen.
System found infected with combo Spyware/Adware (HKLM\SYSTEM\CurrentControlSet\Services\6to4)! Action taken: Keine Maßnahme ergriffen.
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\System\CurrentControlSet\Services\Iprip !!!
Offending Key found: HKLM\System\ControlSet001\Services\Iprip !!!
Offending Key found: HKLM\System\ControlSet003\Services\Iprip !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
laufende Prozesse - commandline
~~~~~~~~~~~~~~~~~~~~~~
CScript-Fehler: Der Zugriff auf Windows Script Host wurde fr diesem Computer deaktiviert. Wenden Sie sich an Ihren Administrator, um weitere Details in Erfahrung zu bringen.
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
ERROR!!! Invalid Entry %SystemRoot%\System32\appmgmts.dll in HKLM\SYSTEM\CurrentControlSet\Services\AppMgmt\Parameters. Action Taken: No Action Taken.
ERROR!!! Invalid Entry \??\C:\Programme\AVPersonal\AVGNTDD.SYS in HKLM\SYSTEM\CurrentControlSet\Services\avgntdd. Action Taken: No Action Taken.
ERROR!!! Invalid Entry \??\C:\WINDOWS\system32\2.tmp in HKLM\SYSTEM\CurrentControlSet\Services\MEMSWEEP2. Action Taken: No Action Taken.
ERROR!!! Invalid Entry system32\DRIVERS\tsmpkt.sys in HKLM\SYSTEM\CurrentControlSet\Services\TSMPacket. Action Taken: No Action Taken.
ERROR(3)!!! ScanFile fails for C:\hiberfil.sys
ERROR(3)!!! ScanFile fails for C:\pagefile.sys
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts:
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 localhost
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 localhost
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 www.007guard.com
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 007guard.com
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 008i.com
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 008k.com
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Zeit überschritten beim Scannen von C:\Dokumente und Einstellungen\marliese\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KOB8FTY6\mwav[1].exe!!!
Zeit überschritten beim Scannen von C:\Programme\Java\jre1.5.0_03\lib\rt.jar!!!
Zeit überschritten beim Scannen von C:\Programme\Java\jre1.5.0_04\lib\rt.jar!!!
Zeit überschritten beim Scannen von C:\Programme\Java\jre1.5.0_06\lib\rt.jar!!!
Zeit überschritten beim Scannen von C:\Programme\Java\jre1.6.0_01\lib\rt.jar!!!
Zeit überschritten beim Scannen von C:\Programme\Microsoft Office\Office10\1031\HTMLREF.CHM!!!
Zeit überschritten beim Scannen von C:\Programme\Microsoft Office\Office10\1033\ACMAIN10.CHM!!!
Zeit überschritten beim Scannen von C:\Programme\Microsoft Works\WKSv7std.sbs!!!
Zeit überschritten beim Scannen von C:\Programme\Sweet Home 3D\jre6\lib\rt.jar!!!
Zeit überschritten beim Scannen von C:\WINDOWS\Driver Cache\i386\driver.cab!!!
Zeit überschritten beim Scannen von D:\Eigene Dateien\Eigene Bilder\tyler fotobuch\Thumbs.db!!!
Zeit überschritten beim Scannen von D:\Eigene Dateien\Eigene eBooks\eScan\mwav.exe!!!
Zeit überschritten beim Scannen von D:\Eigene Dateien\Eigene eBooks\Install_Messenger_nous.exe!!!
Zeit überschritten beim Scannen von D:\Eigene Dateien\Eigene eBooks\lidl\LIDL_Fotoservice_Setup.exe!!!
Zeit überschritten beim Scannen von D:\Eigene Dateien\Eigene eBooks\power producer update\CyberLink.063208(3.7)_PPD060717-01.exe!!!
Zeit überschritten beim Scannen von D:\Eigene Dateien\Eigene eBooks\power producer update\PowerProducerDeluxePatch_32_1604.exe!!!
Zeit überschritten beim Scannen von D:\Eigene Dateien\Eigene eBooks\treiber\9-8_catalyst for xp.exe!!!
Zeit überschritten beim Scannen von D:\Eigene Dateien\Eigene eBooks\treiber\catalyst 9.9.exe!!!
Zeit überschritten beim Scannen von D:\Eigene Dateien\tobias\SweetHome3D-1.8-windows.exe!!!
Zahl der gescannten Objekte: 126246
Zahl der kritischen Objekte: 6
Zahl der desinfizierten Objekte: 0
Zahl der umbenannten Objekte: 0
Zahl der gelöschten Objekte: 0
Zeit verstrichen: 01:06:44
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Speicherüberprüfung: Aktiviert
Überprüfung der Registrierungsdatenbank: Aktiviert
Überprüfung des Startordners: Aktiviert
Überprüfung des Systemordners: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Laufwerke: Deaktiviert
Überprüfung aller Laufwerke:Aktiviert
Überprüfung der Ordner: Deaktiviert

Batchstart: 23:29:24,85
Batchende: 23:30:09,64
__________________


Alt 07.12.2009, 11:16   #3
Chris4You
 
Im Web "HTML/Crypted.Gen" gefunden -> gelöscht -> alles hinüber - Standard

Im Web "HTML/Crypted.Gen" gefunden -> gelöscht -> alles hinüber



Hi,

inzwischen hat Google die Webseite als "Diese Website kann Ihren Computer beschädigen." gekennzeichnet. Hab mir's mal angeschaut es wird versucht auf Rechner die diese Webseite ansteuern über Sicherheitslücken einen Trojan-Downloader zu installieren, der dann andere Malware nach sich zieht... (Und das passiert auch im FF mit NoScript etc....)...

Die Seite muss vom Netz genommen werden...

Du musst nochmal Neuaufsetzen (folge dem Link: http://www.trojaner-board.de/51262-a...sicherung.html)...
Wichtig: Festplatte komplett formatieren und MBR neu schreiben!
Dabei gehen alle Daten verloren!

chris
__________________
__________________

Antwort

Themen zu Im Web "HTML/Crypted.Gen" gefunden -> gelöscht -> alles hinüber
adobe, antivir, avira, bho, bildschirm, cursor, desktop, excel, explorer, fehler, fehler?, hijackthis log-file, hkus\s-1-5-18, html/crypted.gen, installation, internet, internet explorer, löschen, malwarebytes geht nicht, microsoft, monitor, neu, programme, saver, schwarzer bildschirm, screensaver, server, software, trojaner, virus, virus gefunden, windows, windows xp



Ähnliche Themen: Im Web "HTML/Crypted.Gen" gefunden -> gelöscht -> alles hinüber


  1. HTML/Crypted.Gen von AVIRA gefunden
    Plagegeister aller Art und deren Bekämpfung - 13.05.2014 (13)
  2. Avira hat "HTML/Infected.WebPage.Gen3" auf meiner Homepage gefunden
    Log-Analyse und Auswertung - 27.05.2013 (19)
  3. Malware-Code "online-alles.net" in HTML-Seiten - Trojaner? --- Teil 1: Bürorechner
    Plagegeister aller Art und deren Bekämpfung - 26.08.2012 (8)
  4. Malware-Code "online-alles.net" in HTML-Seiten - Trojaner? --- Teil 2: Laptop
    Plagegeister aller Art und deren Bekämpfung - 24.08.2012 (5)
  5. Malware-Code "online-alles.net" in HTML-Seiten - Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 20.08.2012 (6)
  6. rool0_pk.exe gelöscht "...Modul nicht gefunden" ?
    Plagegeister aller Art und deren Bekämpfung - 02.08.2012 (8)
  7. Wie soll ich "HTML/Rce.gen" in "\Firefox\Profiles\p2hadvdz.default\Cache" entfernen?
    Plagegeister aller Art und deren Bekämpfung - 06.02.2011 (1)
  8. 'TR/Alureon.B' und 'HTML/Crypted.Gen' gefunden
    Plagegeister aller Art und deren Bekämpfung - 09.08.2010 (27)
  9. Problem mit der Datei "sshnas21.dl" obwohl alles gelöscht wurde
    Log-Analyse und Auswertung - 29.05.2010 (5)
  10. HTML/Crypted.Gen gefunden
    Plagegeister aller Art und deren Bekämpfung - 23.03.2010 (6)
  11. "Rouge.Installer" und "HTML/IFrame.pntb"
    Log-Analyse und Auswertung - 23.01.2010 (0)
  12. Avira hat bei mir "HTML/Infected.WebPage.Gen" gefunden.
    Plagegeister aller Art und deren Bekämpfung - 02.12.2009 (1)
  13. Virus gefunden: "Backdoor.Win32.RemoteHack.15.c". Ist alles trotzdem ok?
    Log-Analyse und Auswertung - 10.10.2008 (11)
  14. "HTML/Crypted.Gen" jedes mal beim Pc neustart
    Plagegeister aller Art und deren Bekämpfung - 18.09.2008 (4)
  15. Trojaner,"Kann nicht gelöscht werden: Die angegebene Datei wurde nicht gefunden."
    Plagegeister aller Art und deren Bekämpfung - 17.06.2008 (12)
  16. TR/Agent.AFGS.30, ntos.exe, HTML/Crypted.Gen gefunden was am besten tun???
    Plagegeister aller Art und deren Bekämpfung - 27.10.2007 (4)

Zum Thema Im Web "HTML/Crypted.Gen" gefunden -> gelöscht -> alles hinüber - Hallo zusammen, ich war heute auf der Seite meines Sanitärhandels, dann kam plötzlich eine Meldung "Virus gefunden" usw. Webseite"www.Wemashop." usw, "HTML/Crypted.Gen", ich habe dann löschen gedrückt (Fehler?): - PC war - Im Web "HTML/Crypted.Gen" gefunden -> gelöscht -> alles hinüber...
Archiv
Du betrachtest: Im Web "HTML/Crypted.Gen" gefunden -> gelöscht -> alles hinüber auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.