Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Crypt.ZPACK.Gen in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 09.04.2010, 12:22   #1
Reeen
 
TR/Crypt.ZPACK.Gen in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\ - Standard

TR/Crypt.ZPACK.Gen in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\



Hey...

Seit heute morgen plagt mich dieser elendige Trojaner. Er hat sich gleich beim Start von Win XP (SP2) bemerkbar gemacht und erstmal mich komplett rausgeschmissen. AntiVir hat ihn mir gemeldet und ich wollte ihn zuerst in Quarantäne schieben, dann ging auch schon der Rechner aus... Irgendwie wollt er dann auch nicht mehr so recht ins Windows bis nach ewigem hin und her er dann doch endlich mal wieder mir den Desktop angezeigt hat.

Ich hab dann gleich mal das ganze System mit AntiVir scannen lassen und er hat auch nur diesen Trojaner entdeckt.
(Der Trojaner ist ständig eine andere kryptische .sys Datei in dem oben erwähnten Temp ordner)
Daraufhin hab ich mich hier im Forum umgesehen und CCleaner installiert. Der normale Cleaner Modus ist bereits durchlaufen, im Moment durchsucht er meine Registry, steht aber seit mehr als einer halben Stunde bei 4% (hat aber bisher 4 Fehlende gemeinsamgenutzte DLLs gefunden).

Ist das normal? Es geht einfach nichts vorwärts...

Soll ich weiterhin die 3 Schritte für Hilfesuchende abrackern, es dann hier posten, oder ist mein Problem vllt. doch etwas anderes?!

Danke schonmal...

Edit: kleines Update: Also CCleaner hat jetzt nach ner Stunde doch die 4% Hürde genommen und läuft jetzt sogar einigermaßen flott weiter...

Edit die 2.: Also, CCleaner funktioniert ganz normal, dauert zwar ewig aber das erste mal ist er jetzt - gottseidank - durch.

Ich werde dann die nächste Schritte noch abarbeiten und euch die log Datei posten.

Geändert von Reeen (09.04.2010 um 13:01 Uhr) Grund: Update

Alt 09.04.2010, 14:19   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.ZPACK.Gen in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\ - Standard

TR/Crypt.ZPACK.Gen in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\



Hallo und

Zitat:
Er hat sich gleich beim Start von Win XP (SP2) bemerkbar gemacht
Wieso nur SP2?
Denk dran, wir brauchen die RSIT und Malwarebytes Logfiles.
__________________

__________________

Alt 09.04.2010, 14:46   #3
Reeen
 
TR/Crypt.ZPACK.Gen in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\ - Standard

TR/Crypt.ZPACK.Gen in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\



Zitat:
Zitat von cosinus Beitrag anzeigen
Wieso nur SP2?
Tja... gute Frage, irgendwie ist da wohl was an mir vorbei gegangen


Die Log-Files kommen, sobald das endlich mal fertig wird... geht ziemlich schleppend vorran.

Ich hätte noch ne andere Frage, da ich mich mit diesen ganze bösen Programmen net so auskenn:

Angenommen ich würde mein Windows plätten und ein neues Installieren, kann ich meine zweite Partition mit allen Daten beibehalten, oder versteckt sich dann das kleine Ekel dort und sucht mich später wieder heim?
(Ich hab nämlich auf der zweiten Partition ziemlich viel selbstgemachte Musik, Fotos etc., die ich ungern verlieren würde...)
__________________

Alt 09.04.2010, 14:52   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.ZPACK.Gen in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\ - Standard

TR/Crypt.ZPACK.Gen in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\



Du kannst natürlich auch formatieren. Hast Du auf der 2. Partitionen nur persönliche Daten oder auch Programme, Spiele und Setups o.ä.?
__________________
"Ich habe viel Geld für Alkohol, Weiber und schnelle Autos ausgegeben. Den Rest hab’ ich einfach nur verprasst." - George Best

Warum Linux besser als Windows ist!


Das Trojaner-Board unterstützen

Alt 09.04.2010, 14:58   #5
Reeen
 
TR/Crypt.ZPACK.Gen in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\ - Standard

TR/Crypt.ZPACK.Gen in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\



Ne, eigentlich sind nur n paar Installationsdatein, DOS Spiele (: und Bilder, Videos, eigene Musik... Und genau das ist nicht vollständig gesichert (kommt ja ständig was dazu usw.). Desswegen wärs äußerst schlecht, wenn das abhanden kommen würde, bzw. ich halt eben diese Partition dann auch formatieren müsste.

Ich werd auf jedenfall erstmal Malwarebytes und den Rest noch durchlaufen lassen und hoffen, dass ich es so fixen kann. Ansonsten hätte ich sowieso keine Alternative.


Alt 09.04.2010, 15:00   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.ZPACK.Gen in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\ - Standard

TR/Crypt.ZPACK.Gen in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\



Es reicht wenn Du die Systempartition formatierst. Wenn das System wieder neu ist, solltest Du unbedingt aufpassen, was Du von der 2. Partition ausführst, sonst hast Du mit etwas Pech ruckzuck wieder ne Infektion drauf.
__________________
--> TR/Crypt.ZPACK.Gen in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\

Alt 09.04.2010, 15:48   #7
Reeen
 
TR/Crypt.ZPACK.Gen in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\ - Standard

TR/Crypt.ZPACK.Gen in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\



So, im Anhang jetzt mal das Log vom Malwarebyte...

Irgendwas konnte er nicht entfernen und verlangt neuzustarten. Ich hoffe danach geht das teil noch...
Angehängte Dateien
Dateityp: txt mbam-log-2010-04-09 (16-44-15).txt (2,9 KB, 240x aufgerufen)

Alt 09.04.2010, 15:58   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.ZPACK.Gen in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\ - Standard

TR/Crypt.ZPACK.Gen in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\



Bitte einen Vollscan mit dem Tool machen...
__________________
"Ich habe viel Geld für Alkohol, Weiber und schnelle Autos ausgegeben. Den Rest hab’ ich einfach nur verprasst." - George Best

Warum Linux besser als Windows ist!


Das Trojaner-Board unterstützen

Alt 09.04.2010, 16:01   #9
Reeen
 
TR/Crypt.ZPACK.Gen in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\ - Standard

TR/Crypt.ZPACK.Gen in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\



Hmmm, das Notebook bleibt jetzt beim Willkommen Bildschirm stehen...

Ich trau mich grad net wirklich es einfach nochmal auszuschalten und wieder anzuschalten, net dass der da grad noch irgendwas rumhandwerkt?!

Edit: Auch nach nochmaligem Aus und An bleibt er nach der schönen Welcome-Musik einfach bei Willkommen stehen und es geht nix weiter... *sigh*

Edit mal wieder die 2te: Mit Windoof CD drin hat ers jetzt dann mal geschafft...aber scheinbar fehlt irgendwas :-/. Jetzt erkennt AntiVir plötzlich BDS/Rustock.155648.B ... *verzweifel* Ich ignorier das jetzt einfach und lass malwarebyte nochmal laufen ...

Geändert von Reeen (09.04.2010 um 16:28 Uhr)

Alt 09.04.2010, 18:05   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.ZPACK.Gen in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\ - Standard

TR/Crypt.ZPACK.Gen in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\



Aua, mit dem Rustock ist nicht zu spaßen, ist ein gefährlicher Backdoor
Wo wurde der gefunden? Du musst immer die Fundorte mit posten...
Wenn Malwarebytes durch ist, bitte die RSIT Logs endlich posten.
__________________
"Ich habe viel Geld für Alkohol, Weiber und schnelle Autos ausgegeben. Den Rest hab’ ich einfach nur verprasst." - George Best

Warum Linux besser als Windows ist!


Das Trojaner-Board unterstützen

Alt 09.04.2010, 18:15   #11
Reeen
 
TR/Crypt.ZPACK.Gen in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\ - Standard

TR/Crypt.ZPACK.Gen in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\



Der war auch irgendwo in diesem Temp ordner. Den hat mir AntiVir beim Vollscan von Malwarebytes angezeigt...

Ich schau eben nach:

Also einmal unter:

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HCVZO4T3\sec[1].exe

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\989806.exe

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\580.exe

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\781.exe

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\0939477.exe

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\7396818.exe

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HCVZo4T3\sec[1].exe
(den hat er am Anfang angezeigt, die anderen während Malwarebytes scannt)


Grad eben hat er mir den noch gebracht:

C:\System Volume Information\_restore{EF4FB3D4-87EC-4491-AF8F-89C329407E6E}\RP656\A0114581.exe



Das Malwarebytes-Teil braucht noch n bisschen, dann kann ich das andere Programm auch endlich laufen lassen... *urgs*

Alt 10.04.2010, 08:26   #12
Reeen
 
TR/Crypt.ZPACK.Gen in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\ - Standard

TR/Crypt.ZPACK.Gen in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\



So, nach über 8 Std. Malewarebytes und zwischendurch mal pennen gehen hab ich jetzt endlich die Log files!


Rustock.B hat meldet sich jedoch immernoch, zumindest sagt das mein Avira. Ich verweig halt immer den Zugriff. Soll ich den vllt. versuchen löschen zu lassen, oder quarantäne?

In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GNRDBFVK\sec[1].exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/Rustock.155648.B' [backdoor] gefunden.
Ausgeführte Aktion: Zugriff verweigern

--

In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\478.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/Rustock.155648.B' [backdoor] gefunden.
Ausgeführte Aktion: Zugriff verweigern

--

In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HCVZO4T3\sec[1].exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/Rustock.155648.B' [backdoor] gefunden.
Ausgeführte Aktion: Zugriff verweigern
Angehängte Dateien
Dateityp: txt mbam-log-2010-04-10 (05-35-37).txt (1,9 KB, 170x aufgerufen)
Dateityp: txt info.txt (26,8 KB, 193x aufgerufen)
Dateityp: txt log.txt (30,2 KB, 170x aufgerufen)

Alt 10.04.2010, 13:26   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.ZPACK.Gen in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\ - Standard

TR/Crypt.ZPACK.Gen in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\



Ja, der Rustock scheint sich zu bewahrheiten. Willst Du immer noch bereinigen mit ungewissem Ausgane oder lieber gleich eine Neuinstallation durchführen?
__________________
"Ich habe viel Geld für Alkohol, Weiber und schnelle Autos ausgegeben. Den Rest hab’ ich einfach nur verprasst." - George Best

Warum Linux besser als Windows ist!


Das Trojaner-Board unterstützen

Alt 10.04.2010, 14:05   #14
Reeen
 
TR/Crypt.ZPACK.Gen in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\ - Standard

TR/Crypt.ZPACK.Gen in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\



Naja, scheinbar macht es ja nicht sonderlich viel Sinn...

Mein Notebook spackt jetzt auch irgendwie mit AntiVir... es lädt zumindest nicht fertig.

Ich muss die C:\ Partition also komplett formatieren, einfach Windows CD rein und dann dem schönen blauen Menü folgen?

Die E:\ Partition kann ich, so wie's aussieht, lassen, oder? (Malewarebytes hat ja dort auch rein gar nichts gefunden und die Funde von Avira bezüglich dem Rustock waren alle auf C:\)

Alt 10.04.2010, 14:07   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.ZPACK.Gen in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\ - Standard

TR/Crypt.ZPACK.Gen in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\



Ja, C: formatieren reicht.
Hast Du noch Daten auf C:? Sowas wie E-Mails, Lesezeichen oder so? Sachen auf dem Desktop? Wenn die wichtigen Sachen nicht auf die zweite Partition kopiert werden, gehen die natürlich beim format c: verloren.
__________________
"Ich habe viel Geld für Alkohol, Weiber und schnelle Autos ausgegeben. Den Rest hab’ ich einfach nur verprasst." - George Best

Warum Linux besser als Windows ist!


Das Trojaner-Board unterstützen

Antwort

Themen zu TR/Crypt.ZPACK.Gen in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\
anderes, antivir, ccleaner, datei, desktop, einfach, einstellungen, erste mal, forum, log datei, nicht mehr, nichts, ordner, problem, quarantäne, rechner, registry, scan, scannen, sp2, start, system, temp, temp ordner, tr/crypt.zpack.gen, win, win xp, windows



Ähnliche Themen: TR/Crypt.ZPACK.Gen in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\


  1. TR/Crypt.XPACK.Gen; C:\Administrator\Lokale Einstellungen\Temp\wstemp\ereg.exe.
    Log-Analyse und Auswertung - 28.09.2014 (14)
  2. TR/Injector.gi in C:\Dokumente und Einstellungen\Test\Lokale Einstellungen\Temp\qxtndqxofj.pre
    Log-Analyse und Auswertung - 01.06.2013 (3)
  3. TR/Agent.73728.15 in C:\Dokumente und Einstellungen\Alexander\deadorziwaty.exe und \Lokale Einstellungen\Temp\1463906.exe
    Log-Analyse und Auswertung - 21.12.2012 (27)
  4. 'TR/Crypt.ZPACK.Gen' in C:\Dokumente und Einstellungen\HP_Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4HYRSHM3\
    Plagegeister aller Art und deren Bekämpfung - 04.09.2012 (1)
  5. TR/ATRAPS.GEN in C:\Dokumente und Einstellungen\***\Temp\nsk15E.tmp\AccessControl.dll
    Plagegeister aller Art und deren Bekämpfung - 19.07.2012 (22)
  6. Trojan horse Dropper.Generic5.TDZ in C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Te
    Plagegeister aller Art und deren Bekämpfung - 28.02.2012 (31)
  7. Trojaner in C:/Dokumente und Einstellungen/user/Temp --> c9QAmKKEC3O.exe
    Diskussionsforum - 24.03.2011 (1)
  8. C:\Dokumente und Einstellungen\mein name\Lokale Einstellungen\Temp csrss.exe Win32.FakeAlert.tt
    Plagegeister aller Art und deren Bekämpfung - 11.03.2011 (8)
  9. Virus HTML/Drop.Agent.AB in C:/Dokumente und Einstellungen/Lokale Service
    Antiviren-, Firewall- und andere Schutzprogramme - 10.03.2011 (1)
  10. HTML/Malicious.PDF.Gen in C:\Dokumente und Einstellungen\admin\Lokale Einstellungen gefunden.
    Plagegeister aller Art und deren Bekämpfung - 25.08.2010 (1)
  11. TR/Crypt.ZPACK.Gen in C:/Dokumente und Einstellungen/***/Lokale Einstellungen/Temp
    Plagegeister aller Art und deren Bekämpfung - 26.04.2010 (3)
  12. TR/PSW.Kates.CA.7 - C:\Dokumente und Einstellungen\Alle\Lokale Einstellungen\Temp\...
    Log-Analyse und Auswertung - 16.04.2010 (18)
  13. Trojaner in C:\Dokumente und Einstellungen\Lokale Einstellungen\Temp\Igl.exe
    Plagegeister aller Art und deren Bekämpfung - 24.03.2010 (3)
  14. Exploit.JS.Pdfka.bvg in C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\temp\
    Plagegeister aller Art und deren Bekämpfung - 18.03.2010 (8)
  15. ...\User\Lokale Einstellungen\Temp\Rar$EX00.781\nero -\nero.exe
    Plagegeister aller Art und deren Bekämpfung - 26.11.2009 (5)
  16. Patched.DY.1 in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\tmpF.
    Plagegeister aller Art und deren Bekämpfung - 11.03.2009 (5)
  17. Lokale Einstellungen\ Temp
    Plagegeister aller Art und deren Bekämpfung - 25.05.2004 (3)

Zum Thema TR/Crypt.ZPACK.Gen in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\ - Hey... Seit heute morgen plagt mich dieser elendige Trojaner. Er hat sich gleich beim Start von Win XP (SP2) bemerkbar gemacht und erstmal mich komplett rausgeschmissen. AntiVir hat ihn mir - TR/Crypt.ZPACK.Gen in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\...
Archiv
Du betrachtest: TR/Crypt.ZPACK.Gen in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\ auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.