Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   ADSPY/AdSpy.Gen2, TR/Crypt.XPACK.Gen2 u.a. , lassen sich nicht entfernen (https://www.trojaner-board.de/98700-adspy-adspy-gen2-tr-crypt-xpack-gen2-u-a-lassen-entfernen.html)

Alex564 04.05.2011 22:05
ADSPY/AdSpy.Gen2, TR/Crypt.XPACK.Gen2 u.a. , lassen sich nicht entfernen
 
Hallo,

mein Computer wurde infiziert und ich werd die Viren nicht los.
Ich habe 'Avira' das mir auch die erste Meldung gab. Daraufhin habe ich hier im Board ein paar Beiträge durchgelesen und habe mal 'Malwarebytes Anti-Malware' und 'Super Anti Spyware' drüberlaufen lassen. Es wurden infizierte Dateien gefunden und repariert/gelöscht jedoch tauchen sie immer wieder auf. Hier ein paar Logs.

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6500

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

03.05.2011 20:54:21
mbam-log-2011-05-03 (20-54-21).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 144002
Laufzeit: 2 Minute(n), 55 Sekunde(n)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 2
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 13

Infizierte Speicherprozesse:
c:\Windows\Temp\Dvc.exe (Trojan.FraudPack.Gen) -> 3624 -> Unloaded process successfully.
c:\Windows\Temp\heos\setup.exe (Spyware.Passwords.XGen) -> 2996 -> Unloaded process successfully.

Infizierte Speichermodule:
c:\Users\Alex\AppData\Local\Auiler.dll (Trojan.Hiloti) -> Delete on reboot.
c:\Users\Alex\AppData\Local\itezaruqehi.dll (Trojan.Agent.U) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AMService (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Ujohafit (Trojan.Hiloti) -> Value: Ujohafit -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\4E3E0230AEBB4E96 (Trojan.SpyEyes) -> Value: 4E3E0230AEBB4E96 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Mqosanecat (Trojan.Agent.U) -> Value: Mqosanecat -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\Recycle.Bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\Windows\Temp\Dvc.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
c:\Users\Alex\AppData\Local\Auiler.dll (Trojan.Hiloti) -> Delete on reboot.
c:\Windows\Temp\heos\setup.exe (Spyware.Passwords.XGen) -> Delete on reboot.
c:\$RECYCLE.BIN\s-1-5-21-3401193465-3970875698-1171233821-1000\$RB3QBH1.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
c:\$RECYCLE.BIN\s-1-5-21-3401193465-3970875698-1171233821-1000\$RZP4WNT.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
c:\Users\Alex\AppData\Local\Temp\emwsxrnoac.exe (Trojan.Hiloti) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{810401e2-dde0-454e-b0e2-aa89c9e5967c}.job (Trojan.FraudPack) -> Quarantined and deleted successfully.
c:\Recycle.Bin\recycle.bin.exe (Trojan.SpyEyes) -> Quarantined and deleted successfully.
c:\Users\Alex\AppData\Local\itezaruqehi.dll (Trojan.Agent.U) -> Delete on reboot.
c:\Recycle.Bin\config.bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.
c:\Windows\System32\config\systemprofile\explorer.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.



Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6500

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

04.05.2011 20:35:25
mbam-log-2011-05-04 (20-35-25).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 142716
Laufzeit: 2 Minute(n), 36 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\4E3E0230AEBB4E96 (Trojan.SpyEyes) -> Value: 4E3E0230AEBB4E96 -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)




Ich hoffe es kann mir einer helfen.

markusg 05.05.2011 10:23
also das sieht nicht sonderlich gut aus.
machst du onlinebanking einkäufe oder sonst was wichtiges mit dem pc?

Alex564 05.05.2011 15:59
Hallo,

nein, machekein online banking und brauch ihn auch nicht beruflich.

mfg

Sorry für die 3fache Antwort, mein Internet spinnt.

markusg 05.05.2011 16:12
was soll das, warum schreibst du das 3 mal?
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Alex564 05.05.2011 23:42
Als ich die Antwort abschicken wollte, hing das Fenster bei der hälfte des ladevorgangs, ca. 5min. Dann hab ich auf zurück geglickt und versucht es nochmal zu posten. Beim dritten mal ging es nur war es leider schon 3 mal gepostet. Ich habe manchmal das Problem das mozilla sich erst nach mehrmaligen draufklicken startet. War nicht mit Absicht, sorry.

Wenn ich combofix starte krieg ich gleich beim ersten ladebalken einen Bluescreen und der PC wird neugestartet, mit der Auswahl im abgesicherten Modus, Normalen Modus usw. zu starten.

markusg 06.05.2011 10:50
läuft combofix im abgesicherten modus? ohne netzwerk bitte.

Alex564 06.05.2011 12:28
Nein, geht nicht. Wieder Bluescreen und Neustart.

markusg 06.05.2011 14:27
poste einen gmer report
http://www.trojaner-board.de/74908-a...t-scanner.html

Alex564 06.05.2011 15:42
Da mittlerweile mein Internet Anbieter sich gemeldet hat und sagt das mein Computer Mails mit Viren verschickt und die mir die Leitung kappen wollen wenn das so weitergeht, habe ich mich entschieden den PC im Fachgechäft machen zu lassen. Ich werde berichten wenn er wieder da ist.

markusg 06.05.2011 16:16
quark, du musst dafür geld bezahlen.
mir ist schon bewusst das du wohl ein rootkit oder ähnliches drauf hast. evtl. müssen wir formatieren, dass müssen wir sehen, aber dafür geld auszugeben ist quark, dass kann man selbst machen.
du kannst sonst mit 100 € meistens rechnen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:15 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129