|
Trojanisches Pferd TR/Crypt.zpack.gen2 gefunden. Kein Internet! Hallo. Nachdem ich stundenlang gesucht habe, konnte ich heute Nacht die Systemwiederherstellung über den abgesicherten Modus ausführen auf den 20.2.2012. Vorher gings nicht, Fehlermeldung. Antivir fand Folgendes: Code: Exportierte Ereignisse:Code: .Code: |
:hallo: Ich habe dein Thema in Arbeit und melde mich so schnell als möglich mit weiteren Anweisungen. Bitte beachte, dass alle meine Antworten zuerst von einem Ausbilder freigegeben werden müssen, bevor ich diese hier posten darf. Dies garantiert, dass Du Hilfe von einem ausgebildeten Helfer bekommst. Ich bedanke mich für deine Geduld :) Gruß, PsYcHoTiC |
:hallo: Mein Name ist Marius und ich werde dir bei deinem Problem helfen. Eines vorneweg: Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellere und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass du clean bist. Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.
Vista und Win7 User Alle Tools mit Rechtsklick "als Administrator ausführen" starten. GMER Bitte
|
So nun hier ist der Gmer: GMER Logfile: Code: GMER 1.0.15.15641 - hxxp://www.gmer.netDas libryry C .. etc. war ganz in rot markiert. Ist das der Virus? Antivir meldet den Virus immer wieder. Muss ich auf entfernen drücken? Dann stürzt mein pc aber ab und ich habe wieder kein internet und keine Dienste... Was muss ich tun? Vielen Dank für die Hilfe! |
Schritt 1: Combofix Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
Schritt 2: Farbar´s Service Scanner Downloade dir bitte Farbar's Service Scanner
|
Hallo Marius Hier das Combofix Code: ComboFix 12-02-27.02 - Acer 28.02.2012 1:03.1.2 - x86Code: Farbar Service Scanner Version: 22-02-2012 |
Hallo Marius. Als ich gestern Nacht den Laptop herunterfuhr, installierte er 2 Windowos updates! Ich wusste nicht, wie man das verhindern konnte... was mache ich nun? Gruss Eve |
Hallo Marius. Frage: Kann ich den Virus über Avira entfernen lassen oder muss ich noch warten? Es poppt immer ein Fenster auf mit der Meldung, dass der Zugriff auf diese Datei verweigert wurde. |
Schritt 1: CF-Script Hinweis für Mitleser: Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter: BleepingComputer.com - ForoSpyware.comund speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)! Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument. Code: FILELOOK::Wichtig:
Schritt 2: MBAM Downloade Dir bitte Malwarebytes
Schritt 3: GMER Bitte
|
Hallo. Ich habe die Scans gemacht. Siehe weiter unten. Avira meldet immer noch "Malware gefunden". Ich habe den Virus NICHT entfernt. Ist das richtig? (Ich habe noch keine Antwort auf meine heutigen Fragen erhalten.) CF: [code] Combofix Logfile: Code: ComboFix 12-02-27.02 - Acer 28.02.2012 23:22:09.2.2 - x86MBAM: Code: Malwarebytes Anti-Malware (Test) 1.60.1.1000Code: GMER 1.0.15.15641 - hxxp://www.gmer.net |
Hallo, du könntest natürlich versuchen, die Datei via antivir zu entfernen - nur glaube ich nicht, dass das viel bringen wird! Mach bitte einmal folgendes: Schritt 1: CF-Script Hinweis für Mitleser: Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter: BleepingComputer.com - ForoSpyware.comund speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)! Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument. Code: ROOTKIT::Wichtig:
Schritt 2: Prüfung über Virustotal Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.
Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen. klicke auf Reanalyse. Warte bis unter Current status: Finished steht. Kopiere den Link aus deiner Adresszeile und poste ihn hier. |
Hallo Marius. Combofix habe ich gemacht. Es gab eine Fehlermeldung: PEV.exe funktioniert nicht mehr. Irgendetwas von warten, bis es eine Lösung gibt, und dass das Prog. beendet wird. Windows hat dann neu gestartet und die Datei .txt erstellt: Combofix Logfile: Code: ComboFix 12-03-01.01 - Acer 01.03.2012 16:08:21.3.2 - x86Der Link von Virustotal: Code: https://www.virustotal.com/file/04e26ac84d0d2485632d9b17f77ec1727f2e20f6783f09464ffa026cd1d3f07a/analysis/1330616310/ |
Schritt 1: Fix mit The Avenger Lade dir das Tool Avenger und speichere es auf dem Desktop: http://larusso.trojaner-board.de/Images/avenger.jpg
|
Hier das post: Code: Logfile of The Avenger Version 2.0, (c) by Swandog46 |
FRST Downloade dir bitte Farbar's Recovery Scan Tool und speichere diese auf einen USB Stick. Schließe den USB Stick an das infizierte System an Du musst das System nun in die System Reparatur Option booten. Über den Boot Manager
|
Hier ist frst.txt: Code: Scan result of Farbar Recovery Scan Tool (FRST written by farbar) Version: 01-03-2012 |
Schritt 1: aswMBR Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
Schritt 2: Scsn mit TDSS-Killer Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen. Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop
|
Hallo Hier aswmbr.txt: Code: aswMBR version 0.9.9.1649 Copyright(c) 2011 AVAST SoftwareCode: 15:42:06.0415 2280 TDSS rootkit removing tool 2.7.18.0 Mar 2 2012 09:40:07 |
CF-Script Hinweis für Mitleser: Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter: BleepingComputer.com - ForoSpyware.comund speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)! Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument. Code: DirLook::Wichtig:
|
Combofix Logfile: Code: ComboFix 12-03-04.01 - Acer 04.03.2012 18:27:10.4.2 - x86 |
Suche mit FRST Schließe den USB Stick, der FRST enthält, an das infizierte System an Du musst das System nun in die System Reparatur Option booten. Über den Boot Manager
Klicke auf search - das Tool erstellt eine search.txt auf deinem Stick. Poste den Inhalt bitte hier. |
Hier ist search.txt. Code: Farbar Recovery Scan Tool Version: 01-03-2012 |
Sehr seltsam! :wtf: Erstelle mir bitte nochmal ein Gmer-Log, ich muss da noch Erkundigungen einholen. Die Datei wird NUR von Gmer gefunden und kann demzufolge auch nicht gekillt werden. Bitte hab etwas Geduld! :) GMER Bitte
|
Code: GMER 1.0.15.15641 - hxxp://www.gmer.net |
Nun bitte ich dich, ein paar Stunden Geduld mitzubringen. ;) |
Ok. Ich hoffe, es gibt eine Lösung. Danke erstmal. |
RKU Downloade Dir bitte RKUnhookerLE und speichere die Datei auf deinem Desktop.
Zitat:
|
Die Datei ist zu lang. ich versuche, sie als Anhang in 3 Teile zu senden. Hoffe, es klappt. Musste 4 Teile machen. |
Hallo snowly1, nach Rücksprache mit den Experten machen wir jetzt mal folgendes! CF-Script Hinweis für Mitleser: Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter: BleepingComputer.com - ForoSpyware.comund speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)! Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument. Code: c:\windows\system32\aptw2s8pj.dllWichtig:
|
Hier das CF: Ich konnte danach nicht mehr ins Internet, irgendeine Fehlermeldung von einer gelöschten Datei. Nachdem ich PC neu gestartet habe, gings wieder. Code: Combofix Logfile: |
OK, noch was: Schritt 1:CF-Script Hinweis für Mitleser: Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter: BleepingComputer.com - ForoSpyware.comund speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)! Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument. Code: FILE::Wichtig:
Schritt 2: Prüfung über Virustotal.com Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.
Zitat:
|
[CODE][/Combofix Logfile: Code: ComboFix 12-03-07.02 - Acer 07.03.2012 15:05:37.6.2 - x86CODE] Code: https://www.virustotal.com/file/036acff85d0b7d364c7fcfcbf9ce7b215885fa78fddbb95205ecd0ca85c690a0/analysis/1331130777/ |
Das sagt mir sogar sehr viel! ;) ESET-Onlinescan ESET Online Scanner
|
Code: C:\Qoobox\Quarantine\C\ProgramData\Tarma Installer\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}\_Setupx.dll.vir a variant of Win32/Adware.Yontoo.B application |
Hm...dem Ding ist so nicht beizukommen. Mach mal folgendes: CF-Script Hinweis für Mitleser: Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter: BleepingComputer.com - ForoSpyware.comund speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)! Lade dir die von mir an diese Antwort angehängte CFScript.txt herunter und speichere sie auf deinem Desktop. Wichtig:
|
Zitat:
|
Code: ComboFix 12-03-08.01 - Acer 08.03.2012 13:58:48.7.2 - x86 |
Zitat:
Ich empfehle dir, sie ungeöffnet zu löschen. Macht der Rechner noch Probleme? |
Nein, bis jetzt gibt es keine Probleme mehr. Kann ich die neue Avira-Free-Antivirus 2012 Software nun herunterladen? Ich habe eine Meldung bekommen, dass Antivir veraltet ist. Muss ich dann Antivir deinstallieren? Ich danke vielmals für die Hilfe. Sind wir nun durch? |
Noch eine Frage: Es hat unter den Angaben im angegebenen Pfad ein Ordner Babylon. Kann ich den ganz löschen? |
Ich möchte dich bitten, noch etwas zu warten. Ich halte gerade nocheinmal Rücksprache mit den Experten, ob wir noch einen Scan durchführen müssen. ;) Danach gibt es von mir Anweisungen, wie du die benutzten Tools sauber von deinem Rechner entfernst. Außerdem bekommst du Tipps, wie du so etwas in Zukunft vermeiden kannst. Das beinhaltet auch die Wahl des Antivirenprogramms! ;-) Hier würde ich dir nämlich zu einer Alternative raten, da Antivir in der freien Version eine Komponente installiert, die wir hier im Forum von den Rechnern der User entfernen. Siehe hier: http://forum.chip.de/personal-firewa...r-1530736.html Den Ordner Babylon kannst du ohne Bedenken komplett löschen! |
Ich habe die Dateien gelöscht. Was ist mit dem obersten, Tarma Installer? Muss ich den auch löschen? |
Zitat:
|
ok. Danke. Dann bin ich mal gespannt auf Deine Antwort. |
Oh, nun hat der Guard folgendes gefunden: Code: In der Datei 'C:\Windows\System32\aptw2s8pj.dll' |
OTL Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code: /md5start
|
Hier ist OTL: Code: OTL logfile created on: 3/9/2012 2:04:21 PM - Run 1 |
Fast vergessen: Extra.txt [CODE][/OTL EXTRAS Logfile: Code: OTL Extras logfile created on: 3/9/2012 2:04:21 PM - Run 1CODE] |
FRST Downloade dir bitte Farbar's Recovery Scan Tool und speichere diese auf einen USB Stick. Schließe den USB Stick an das infizierte System an Du musst das System nun in die System Reparatur Option booten. Über den Boot Manager
|
Code: Scan result of Farbar Recovery Scan Tool (FRST written by farbar) Version: 07-03-2012 01 |
Hallo, die FRST-Logdatei ist ok, allerdings fehlen uns die md5-Werte! Zitat:
Bitte erstelle ein neues Log nach den Vorgaben. |
Hallo. Ich mache frst nun noch einmal. Allerdings gibt es nur ein "Drivers MD5" und nicht "List Drivers MD5". Das hatte ich aber letztes Mal auch angekreuzt. Ich habe diesmal das Kreuz noch zusätzlich bei "List Files and Folders" rausgenommen. Hoffe diesmal hats geklappt! Code: Scan result of Farbar Recovery Scan Tool (FRST written by farbar) Version: 07-03-2012 01 |
Wann wurde diese Software installiert? Zitat:
|
Unter Programme steht: Installiert am 14.08.2009. Was ist das genau? Hat das damit zu tun, dass einige Ordner mit einem Schloss gekennzeichnet sind und nicht mehr geöffnet werden können? Kann man dieses Programm löschen? |
Genau dafür ist der Winlocker da, ja! ;) Der ist auf manchen Notebooks von vorneherein drauf... Manche Ordner auf deiner Festplatte sind für den Zugriff des normalen Users gesperrt (und tragen deshalb das Schloß). Meist beinhalten sie wichtige Systemdateien. Die Experten arbeiten grade an einer Lösung - auf deinem System ist nämlich noch nicht alles so, wie es sein sollte! |
Hallo. Ich hatte gestern direkt auf dem Outlook Deine E-Mail beantwortet. Das hat wohl nicht geklappt. Ich wollte nur fragen, ob ich dieses Programm aus dem Startmenu entfernen kann? (Winlocker 3?) Danke für Eure Hilfe. |
Warte erst einmal ab, bevor du etwas am System änderst. Die Mails sind im übrigen ausschließlich Benachrichtigungen - darauf zu antworten macht keinen Sinn, da die Antworten ins Leere laufen. Steht aber so auch in jeder Email! ;) |
Schritt 1: CF-Script Hinweis für Mitleser: Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter: BleepingComputer.com - ForoSpyware.comund speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)! Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument. Code: DRIVER::Wichtig:
Schritt 2: GMER Bitte
|
Hallo Marius. Als wir heute das Netbook aufgestartet haben, konnten wir kein Programm starten, der PC hängte sich auf. Neu gestartet, da kam Virusmeldung von Avira, wieder genau in der gleichen Datei wie in meinem Eröffnungsbeitrag! Derselbe Virus Zpack.gen2 Wieder keine Windows Dienste und kein Internet. Konnte im abgesicherten Modus die Systemwiederherstellung auf den 07.03. zurücksetzen. Nun wird der Virus wieder angezeigt, habe ihn aber nicht mehr entfernt. Was muss ich nun tun? Da scheint wirklich irgend etwas gar nicht zu stimmen... |
Ja, da ist irgendwas ganz und gar faul! Bereinigung würde hier zu keinem vertrauenswürdigen Ergebnis führen. Du solltest den Rechner formatieren, neu aufsetzen und absichern. Hier können wir dir leider nicht anders helfen! :( |
Ja, das werde ich wohl mal versuchen müssen, wenn ich Zeit habe. Nur mit den Treibern habe ich keine Erfahrung. Hab mal im Internet geschaut aber für mein Netbook unter "Acer" nichts gefunden. Meins scheint nicht aufgeführt zu sein. Weisst Du, wie ich an die richtigen Treiber komme und welche ich brauche? Und du hast mir noch sagen wollen, welches Antivirusprogramm ich nehmen soll, weil das Antivir nicht so gut sei. Hast Du einen Tipp? Danke! |
Waren bei dem Rechner keine Datenträger mit den Treibern dabei? :wtf: Ansonsten: Wenn Win7 bei der Installation über eine funktionierende Internetverbindung verfügt, holt es sich die fehlenden Treiber über Microsoft Update, spätestens beim ersten Updatelauf. Ansonsten hat der Rechner unten drauf eine Seriennummer, über diese und die ebenfalls dort stehende Modellreihe findest du im Internet alles, was du brauchst. Antivirusprogramme: Antivirenprogramme sind kein Allheilmittel für alle Gefahren - sie können lediglich als eine Art Sicherheitsgurt fungieren. Demzufolge ist es relativ egal, welches Produkt du einsetzt. Eine gute Alternative zu Antivir ist Avast!. |
Dieses Thema scheint erledigt und wurde aus meinen Abos gelöscht. Solltest du das Thema erneut brauchen, schicke mir bitte eine PM. Jeder andere bitte hier klicken und ein eigenes Thema erstellen! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:21 Uhr. |
Copyright ©2000-2024, Trojaner-Board
