|
Trojaner Crypt.E hat da jemand erfahrung mit? Hey, der AV hat bei mir den Trojaner Crypt.E gefunden, der sich auch gleich mal tausendfach im System verewigt hat. Hat jemand erfahrung mit der Entwernung oder ist da Hopfen und Malz verloren? Gruss, 10 Fold |
Nach Informationen von Viruslist.com wird der von Antivir gefundene TR/Crypt.E von Sophos als W32/Rbot-ADZ erkannt. Da es sich hier um einen Backdoor kann dir hier nur zu einem Neuaufsetzen gemäß dieser Anleitung geraten werden, um ähnliches Ungemach in zukunft zu verhindern. Warum eine Bereinigung hier nicht zum Erfolg führen kann: http://www.mathematik.uni-marburg.de...al.html#sec2.5 Lies dir auch mal den 2ten link in meiner Signatur durch. |
Habe selbiges Problem (gehabt), mir ist beim scanen mit Antivir 493 mal der Trojaner Crypt.E angezeigt worden, konnt jedoch nicht gelöscht werden. Die Quelle die Antivir anzeigte war auf meinem Rechner gar nicht vorhanden, bzw. für mich nicht sichtbar. Mit Hilfe der Systemwiederherstellung habe ich den Rechner auf den Stand vor der Infektion gesetzt und plötzlich war der Ordner mit den 493 Dateien vorhanden. Diese habe ich dann gelöscht und anschließend nochmals Antivir drüber laufen lassen, ohne Fund. Jetzt ist meine Frage, wiege ich mich in trügerischer Sicherheit? Schließlich habe ich auch die oben genannten Links gelesen und habe nun ein komisches Gefühl. Jedoch muß ich zu meiner Schande gestehen, daß ich die Datensicherung nicht ernst genommen habe, und somit so gut wie nichts was aufm Rechner ist als Sicherungskopie habe. Kann ich nun meine ganzen Fotos, Texte, Lieder,... auf CD brennen und nach dem formatieren wieder auf den Rechner spielen, oder gibt es die Gefahr das ich mir den Trojaner dann von der CD wieder einfangen kann. Achja, leider kenn ich mich nicht besonders gut aus in dem ganzen Gebiet. Schonmal danke im Voraus |
um dies sagen zu können solltest du doch mal ein HJT logfile posten. gruß |
Kein Problem: Hab den Rechner neugestartet bin direkt ins Internet und habe dann sofort den log erstellt: Logfile of HijackThis v1.99.1 Scan saved at 14:24:49, on 09.12.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Launch Manager\OSD.exe C:\Programme\Launch Manager\HotkeyApp.exe C:\Programme\Launch Manager\LaunchAp.exe C:\Programme\Launch Manager\CtrlVol.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\System32\ctfmon.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Dassault Systemes\B11\intel_a\code\bin\CATSysDemon.exe C:\WINDOWS\System32\niSvcLoc.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\tonchkml32.exe C:\Dokumente und Einstellungen\*****\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.******.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\HotkeyApp.exe O4 - HKLM\..\Run: [LaunchApp] LaunApp O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_01\bin\npjpi141_01.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_01\bin\npjpi141_01.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/3058e4573d4a2ff45200/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094825369546 O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdateV3 - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{5E114D3F-B4C5-4F88-A5E3-A8A4DBC13245}: NameServer = 217.237.148.49 217.237.148.65 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Programme\Dassault Systemes\B11\intel_a\code\bin\CATSysDemon.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NILM License manager - Macrovision Corporation - D:\LabView\Shared\License Manager\Bin\lmgrd.exe O23 - Service: NI Service Locator (niSvcLoc) - National Instruments - C:\WINDOWS\System32\niSvcLoc.exe |
kann nix auffälliges finden. aber du solltest auf jeden fall sofort und direkt dein system updaten auf SP 2. sonst ist es nur eine frage der zeit bis du wieder hier nach hilfe suchst.. gruß |
Danke. Ich war eigentlich fest der Meinung ich hätte Service Pack 2 drauf. Naja, dann hoff ich mal das ich mit dem Schrecken davon gekommen bin. Allerdings ist meine Frage von oben noch offen ob ggf. wenn ich mir die Daten auf CD brenne und dann mein System neu aufsetze die Backdoor wieder durch die CD aufs neue System kommen könnte |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:01 Uhr. |
Copyright ©2000-2024, Trojaner-Board