|
Ransom.XBlocker - HEUR/Crypted.E - Crypt.XPACK.Gen Ich habe mir gestern all dies hier eingefangen beim cybern maybe: eqysp.exe rqysp.dll hvsyfojy local\oxakdmwmn\kqkppcutssd.exe Typ: Datei Quelle: C:\Users\Reece\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\QBCZV3UG\sjnvpnidk[1].htm Status: Infiziert Quarantäne-Objekt: 48fee713.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows 2000/XP/VISTA Workstation Suchengine: 8.02.04.26 Virendefinitionsdatei: 7.10.09.193 Meldung: Enthält verdächtigen Code: HEUR/Crypted.E Datum/Uhrzeit: 27.07.2010, 04:34 Typ: Datei Quelle: C:\Users\Reece\AppData\Local\Temp\acgpuwna.exe Status: Infiziert Quarantäne-Objekt: 5060c8bd.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows 2000/XP/VISTA Workstation Suchengine: 8.02.04.26 Virendefinitionsdatei: 7.10.09.193 Meldung: Ist das Trojanische Pferd TR/Ransom.XBlocker.avw Datum/Uhrzeit: 27.07.2010, 04:34 Typ: Datei Quelle: C:\Users\Reece\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZMDSAY4B\kofmhoahpk[1].htm Status: Infiziert Quarantäne-Objekt: 023e9259.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows 2000/XP/VISTA Workstation Suchengine: 8.02.04.26 Virendefinitionsdatei: 7.10.09.193 Meldung: Ist das Trojanische Pferd TR/Ransom.XBlocker.avw Datum/Uhrzeit: 27.07.2010, 04:34 Typ: Datei Quelle: C:\Windows\System32\eqysp.exe Status: Infiziert Quarantäne-Objekt: 5783cd54.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows 2000/XP/VISTA Workstation Suchengine: 8.02.04.26 Virendefinitionsdatei: 7.10.09.193 Meldung: Ist das Trojanische Pferd TR/Agent.40581 Datum/Uhrzeit: 27.07.2010, 04:24 Typ: Datei Quelle: C:\Windows\System32\rqysp.dll Status: Infiziert Quarantäne-Objekt: 4f14e2ff.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows 2000/XP/VISTA Workstation Suchengine: 8.02.04.26 Virendefinitionsdatei: 7.10.09.193 Meldung: Ist das Trojanische Pferd TR/BHO.294912 Datum/Uhrzeit: 27.07.2010, 04:24 Typ: Datei Quelle: C:\Users\Reece\AppData\Local\Temp\acgpuwna.exe Status: Infiziert Quarantäne-Objekt: 026a97fc.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows 2000/XP/VISTA Workstation Suchengine: 8.02.04.26 Virendefinitionsdatei: 7.10.09.193 Meldung: Ist das Trojanische Pferd TR/Ransom.XBlocker.avw Datum/Uhrzeit: 27.07.2010, 04:23 Typ: Datei Quelle: C:\Users\Reece\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZMDSAY4B\kofmhoahpk[1].htm Status: Infiziert Quarantäne-Objekt: 5034cd08.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows 2000/XP/VISTA Workstation Suchengine: 8.02.04.26 Virendefinitionsdatei: 7.10.09.193 Meldung: Ist das Trojanische Pferd TR/Ransom.XBlocker.avw Datum/Uhrzeit: 27.07.2010, 04:23 Typ: Datei Quelle: C:\Users\Reece\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZMDSAY4B\sjnvpnidk[1].htm Status: Infiziert Quarantäne-Objekt: 48abe2b4.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows 2000/XP/VISTA Workstation Suchengine: 8.02.04.26 Virendefinitionsdatei: 7.10.09.193 Meldung: Enthält verdächtigen Code: HEUR/Crypted.E Datum/Uhrzeit: 27.07.2010, 04:23 Typ: Datei Quelle: C:\Windows\System32\eqysp.exe Status: Infiziert Quarantäne-Objekt: 578ab65d.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows 2000/XP/VISTA Workstation Suchengine: 8.02.04.26 Virendefinitionsdatei: 7.10.09.193 Meldung: Ist das Trojanische Pferd TR/Agent.40581 Datum/Uhrzeit: 27.07.2010, 03:37 Typ: Datei Quelle: C:\Windows\System32\rqysp.dll Status: Infiziert Quarantäne-Objekt: 4f1d9986.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows 2000/XP/VISTA Workstation Suchengine: 8.02.04.26 Virendefinitionsdatei: 7.10.09.193 Meldung: Ist das Trojanische Pferd TR/BHO.294912 Datum/Uhrzeit: 27.07.2010, 03:37 Typ: Datei Quelle: C:\Users\Reece\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FXMS4G5K\sjnvpnidk[1].htm Status: Infiziert Quarantäne-Objekt: 48bc99a8.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows 2000/XP/VISTA Workstation Suchengine: 8.02.04.26 Virendefinitionsdatei: 7.10.09.193 Meldung: Enthält verdächtigen Code: HEUR/Crypted.E Datum/Uhrzeit: 27.07.2010, 03:36 Typ: Datei Quelle: C:\Users\Reece\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZMDSAY4B\kofmhoahpk[1].htm Status: Infiziert Quarantäne-Objekt: 027cecec.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows 2000/XP/VISTA Workstation Suchengine: 8.02.04.26 Virendefinitionsdatei: 7.10.09.193 Meldung: Ist das Trojanische Pferd TR/Ransom.XBlocker.avw Datum/Uhrzeit: 27.07.2010, 03:36 Typ: Datei Quelle: C:\Users\Reece\AppData\Local\Temp\vcgl.exe Status: Infiziert Quarantäne-Objekt: 5022b610.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows 2000/XP/VISTA Workstation Suchengine: 8.02.04.26 Virendefinitionsdatei: 7.10.09.193 Meldung: Ist das Trojanische Pferd TR/Ransom.XBlocker.avw Datum/Uhrzeit: 27.07.2010, 03:36 Typ: Datei Quelle: C:\Users\Reece\AppData\Local\Temp\awoenmscrx.exe Status: Infiziert Quarantäne-Objekt: 48b099b0.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows 2000/XP/VISTA Workstation Suchengine: 8.02.04.26 Virendefinitionsdatei: 7.10.09.193 Meldung: Ist das Trojanische Pferd TR/Crypt.XPACK.Gen Datum/Uhrzeit: 27.07.2010, 03:36 Typ: Datei Quelle: C:\Users\Reece\AppData\Local\Mozilla\Firefox\Profiles\ketz5dbw.default\Cache\38B83725d01 Status: Infiziert Quarantäne-Objekt: 48df933e.qua Wiederhergestellt: NEIN Zu Avira hochgeladen: NEIN Betriebssystem: Windows 2000/XP/VISTA Workstation Suchengine: 8.02.04.02 Virendefinitionsdatei: 7.10.08.237 Meldung: Enthält Erkennungsmuster des HTML-Scriptvirus HTML/FlashFrame.Gen Datum/Uhrzeit: 15.07.2010, 18:05 Wenn der Internetzugang da ist laden Sie sich alle von selbst wieder auf den Rechner. Vom Netz abgeklemmt habe ich versch. Antivir Tools laufen lassen und konnte alles entfernen. Jetzt im Moment funktioniert wieder alles (auch mit Internetzugang) aber mal sehen wie lange das so bleibt...formatieren wird mir denke ich nicht erspart bleiben. Ich lasse gleich noch kasperskyonlinescan laufen und CCleaner. Ein Überbleibsel, dass ich nicht entfernen konnte ist zb. diese Datei: zhchwf.sys [WARNUNG] Die Datei konnte nicht gelöscht werden! C:\Windows\System32\drivers\zhchwf.sys [WARNUNG] Die Datei konnte nicht zum Löschen nach dem Neustart markiert werden. Mögliche Ursache: Ein an das System angeschlossenes Gerät funktioniert nicht. Google liefert keine Ergebnisse dazu. Jemand ne Idee? |
Zitat:
|
Kaspersky hat nichts mehr gefunden. Es sieht aus als habe ich Sie erfolgreich von der Platte gedrängt. Dabei habe ich nur antivir und Malwarebyte benützt. Sorgfältig alles aus der msconfig gelöscht und aus der registry. Alles im abgesicherten Modus und was auch wichtig war glaube ich direkt den lanStecker ziehen als es losging. Hier die Log von Kaspersky: J ist eine kleine shuttle fesptlatte die ich von der Arbeit mitgenommen habe. Das die so verseucht ist, ist allein shcon erstaunlich. Aber der Wurm der bei mir auf der hdd war ist nicht dabei. Sehr strange alles. D:\Programme\Blocklist Manager\Tools\ipscan.exe Infected: not-a-virus:NetTool.Win32.Portscan.c 1 J:\System Volume Information\_restore{FA17647F-6BCE-4197-8DD0-7A527E8E0679}\RP39\A0002650.exe Infected: Worm.Win32.VB.ads 1 J:\Recycled\INFO.EXE Infected: Worm.Win32.VB.ads 1 J:\Recycled\Df149\RP72\A0005473.exe Infected: Worm.Win32.AutoRun.fqs 1 J:\Recycled\Df152\RP5\A0007376.inf Infected: Worm.Win32.VB.fp 1 J:\Recycled\Df152\RP5\A0007382.EXE Infected: Worm.Win32.VB.ads 1 J:\Recycled\Df152\RP5\A0007411.inf Infected: Worm.Win32.VB.fp 1 |
Du hast noch nicht erklärt was "cybern maybe" bedeuten soll. |
Ey junge du nervst. Was machst du eigentlich hier? Ich meine ausser den Leuten zu sagen sie sollen dir 1000 logs schicken damit du drin rumschnüffeln kannst? Wenn du was nützliches tun willst finde raus was es mit dieser dubiosen file "zhchwf.sys" auf sich hat. [WARNUNG] Die Datei konnte nicht gelöscht werden! C:\Windows\System32\drivers\zhchwf.sys [WARNUNG] Die Datei konnte nicht zum Löschen nach dem Neustart markiert werden. Mögliche Ursache: Ein an das System angeschlossenes Gerät funktioniert nicht. Zu windows gehört die jedenfalls nicht. |
Zitat:
|
Zitat:
Also für alle mit demselben Problemen (Nein nicht das mit der Freundin, der Trojaner...): Die file zhchwf.sys ist ein Rootkit. Eigentlich sind Rootkits sehr schwer zu entfernen. Sicherer wäre es zu formatieren. Was für Rootkits auf dem Rehcner laufen kannman mit einem Rootkit Revealer herausfinden. Einfach mal nach Googlen. Um Systemdateien unter Win7 /Vista wegzubekommen - wie eben die file zhchwf.sys müsste man etwas an Windows basteln, siehe hier hxxp://www.wintotal.de/tipparchiv/?id=1325 oder Mit einer Linux Sartcd booten und von dort aus löschen. zweiteres habe ich angewandt und bin wieder glücklich. Alles restlos von der Platte. |
Zitat:
Und woher willst Du wissen, dass ich keine Freundin hätte oder hat da Dein IQ knapp über Raumtemperatur was zusammengeponnen? :rolleyes: |
Zitat:
Zitat:
ich sag jetzt nur ma <random>.sys und ist einmal ein Trojaner und einmal ein Rootkit. Rootkits machen was ganz tolles, sie verstecken nicht nur sich selbst sondern auch andere "Freunde". Aber ich lass dich jetzt mal in dem Glauben das Du der Beste bist und wir hier alles Idioten. Und nein, ich hab keine Freundin, ich bin Leistungssportler (um das gleich mal vorweg zu nehmen) :kaffee: |
Zitat:
Punkt hier auch wieder: Rootkit revealer. Damit erkennt man ob das Rootkit schadhaft ist oder nicht. |
Zitat:
Nur wieso fragst Du hier überhaupt nach wenn Du der allerbestetollste mit 3 Weibern bist? :confused: |
Zitat:
Zitat:
Zitat:
Ciao, du kommst auch ohne uns ja prima zurecht :D |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:07 Uhr. |
Copyright ©2000-2024, Trojaner-Board