Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner TR/Crypt.XPACK.Gen3 und TR/Agent.aym.2 in svchost.exe und shell.exe (https://www.trojaner-board.de/91969-trojaner-tr-crypt-xpack-gen3-tr-agent-aym-2-svchost-exe-shell-exe.html)

H4rz 18.10.2010 13:56
Trojaner TR/Crypt.XPACK.Gen3 und TR/Agent.aym.2 in svchost.exe und shell.exe
 
Hallo,

seit gestern habe ich einen oder mehrere Trojaner auf meinem Rechner.

Folgende Symptome konnte ich bisher feststellen:
- mein Browser zeigt mir andere Seiten an, als die, die ich aufrufe (unter Anderem zum Beispiel eine Suche nach "Trend Antivirus" auf "ask.com")
- Meine Firewall fragte mich neuerdings ob "Windows Host Process" und "Shell.exe" aufs Internet zugreifen dürfen, was davor nie der Fall war, bzw. was ich schon längst erlaubt und gespeichert hatte. Die musste ich zulassen, da ich sonst auf keine Seiten im Netz mehr zugreifen konnte.

Malwarebytes`zeigte mir 10 Dateien rot an. Nachdem ich sie entfernt hatte konnte ich nach einem Neustart keine Webseiten mehr angezeigt bekommen. Deshalb musste ich sie nun vorübergehend aus dem Quarantäneordner wiederherstellen.

Avira Free Antivirus zeigte mir 2 Meldungen an:
In der Datei 'C:\Users\XXX\AppData\Roaming\Microsoft\Windows\shell.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen3' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
und
In der Datei 'C:\Users\XXX\AppData\Local\Temp\0.9330516326032002.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.aym.2' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

Die Probleme treten trotzdem noch auf.

Ich überlege, die infizierten Dateien mit malwarebytes' zu entfernen und dann eine Windows Reparatur-Installation drüberlaufen zu lassen.

Falls es irgendwie geht, würde ich einer kompletten Neuinstallation gerne aus dem Weg gehen.

Hier das aktuelle logfile von malwarebytes`

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4869

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

18.10.2010 13:51:56
mbam-log-2010-10-18 (13-51-56).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 152035
Laufzeit: 4 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
C:\Users\XXX\AppData\Roaming\Microsoft\svchost.exe (Trojan.Agent) -> No action taken.
C:\Users\XXX\AppData\Roaming\Microsoft\Windows\shell.exe (Trojan.Shell) -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe,C:\Users\XXX\AppData\Roaming\Microsoft\Windows\shell.exe) Good: (Explorer.exe) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\XXX\AppData\Roaming\Microsoft\svchost.exe (Trojan.Agent) -> No action taken.
C:\Windows\System32\ufyw.gho (Trojan.Dropper.Gen) -> No action taken.
C:\Users\XXX\AppData\Local\Temp\0.9103432777020439.exe (Trojan.Agent) -> No action taken.
C:\Users\XXX\AppData\Roaming\asdsada.bat (Malware.Trace) -> No action taken.
C:\Users\XXX\AppData\Roaming\Microsoft\Windows\shell.exe (Trojan.Shell) -> No action taken.

cosinus 18.10.2010 20:03
Hallo und :hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lies die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.



Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:19 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55