Allg. Wie lösche in das Trojanische Pferd "TR/Crypt.XPACK.Gen"
- Ersteller baldulin
- Erstellt am
baldulin
Vice Admiral Special
Hi Leute,
meine Eltern bekommen über "Avira" so eine komische Meldung, jedoch bei der Systemprüfung nicht sondern wenn man zB wie ich gestern den Arbeitsplatz öffnet ??
Löschen oder in Quarantäne stecken hilft nichts, wenns helfen würde wäre ich nicht hier
Man drückt auf löschen oder auf quarantäne und darf das mind 30mal machen bis erstmal wieder Ruhe ist. Danach gehts wieder von neuem los... !!
Weis jemand von Euch ob es die Möglichkeit gibt die Werbeeinblendung nach dem UPDATE (VirenListe oder so) bei "Avira" zu unterbinden ?
Dankeschön,
Gruss, baldulin.
meine Eltern bekommen über "Avira" so eine komische Meldung, jedoch bei der Systemprüfung nicht sondern wenn man zB wie ich gestern den Arbeitsplatz öffnet ??
Löschen oder in Quarantäne stecken hilft nichts, wenns helfen würde wäre ich nicht hier
Man drückt auf löschen oder auf quarantäne und darf das mind 30mal machen bis erstmal wieder Ruhe ist. Danach gehts wieder von neuem los... !!
Weis jemand von Euch ob es die Möglichkeit gibt die Werbeeinblendung nach dem UPDATE (VirenListe oder so) bei "Avira" zu unterbinden ?
Dankeschön,
Gruss, baldulin.
Zuletzt bearbeitet:
CeeJay D-Magic
Fleet Captain Special
So wie das aussieht, ist es ein Virus, der von ganz woanders her operiert als die Viren die er da gefunden hat. Diese scheint die Dateien "AVP344x.tmp" immer wieder von neuem zu erstellen.
Ich rate dir mal im abgesicherten modus die Dateiüberprüfung durchlaufen zu lassen.
Benutzt ihr ein USB-Stick oder so?
MFG,
Cee
Ich rate dir mal im abgesicherten modus die Dateiüberprüfung durchlaufen zu lassen.
Benutzt ihr ein USB-Stick oder so?
MFG,
Cee
baldulin
Vice Admiral Special
Hi,
soweit ich weis nicht, ausser mein Schwager mal wenn er bei meinen Eltern ist ?? Frägst Du deshalb weil der Virus evtl von nem USB Stick kommen könnte ?
Bin jetzt erstmal weg, bin am Montag wieder da.
Gruss, baldulin.
- ok, ich versuchs das nächste mal im abgesicherten Modus.
soweit ich weis nicht, ausser mein Schwager mal wenn er bei meinen Eltern ist ?? Frägst Du deshalb weil der Virus evtl von nem USB Stick kommen könnte ?
Bin jetzt erstmal weg, bin am Montag wieder da.
Gruss, baldulin.
hacki
Grand Admiral Special
1) Systemwiederherstellung deaktivieren
2) Mit CC Cleaner Temporäre Files löschen
3) ComboFix installieren und laufen lassen
4) Anti Malware installieren, evtl. updaten und Komplettscan laufen lassen.
5) HiJackThis runterladen und LOG hier posten..
2) Mit CC Cleaner Temporäre Files löschen
3) ComboFix installieren und laufen lassen
4) Anti Malware installieren, evtl. updaten und Komplettscan laufen lassen.
5) HiJackThis runterladen und LOG hier posten..
![[P3D] Crazy_Chris](/data/avatars/m/0/429.jpg?1596828194){kind=avatar}
[P3D] Crazy_Chris
Grand Admiral Special
XPack..wär nicht das erste mal das Avira bei dem nen Fehlalarm meldet. 
baldulin
Vice Admiral Special
Hi,
Gruss, baldulin.
- Fehlalarm ? Und das heisst jetzt für mich ?? ? Das ich´s als unbedenklich einstufen kann ?? Was macht das XPack ??[P3D] Crazy_Chris;3930763 schrieb:XPack..wär nicht das erste mal das Avira bei dem nen Fehlalarm meldet.
Gruss, baldulin.
[P3D] Crazy_Chris
Grand Admiral Special
Mit einen anderen Virenscanner gegentesten.
G
Gast29012019_2
Guest
Und dabei das alte Antivirenprogramm löschen.
Sollte da wirklich ein "Virus" ein sein unwesen treiben, würde ich die Platte mit den Herstellertools löschen, und das BS neu draufhauen. Sollten wichtige Daten drauf sein, ist das Riskio recht hoch das diese mit infiziert worden sind, falls man diese noch sichern will. Oder Platte ausbauen an einen sauberen PC hängen, wo nur BS installiert ist und die betreffenden Dateien checken, schließt aber nicht aus das sie bereits manipuliert worden sind und das Programm den Schadcode in besagter Datei nicht findet.
Abraten würde ich davon, das *verseuchte System* zu flicken.
Sollte da wirklich ein "Virus" ein sein unwesen treiben, würde ich die Platte mit den Herstellertools löschen, und das BS neu draufhauen. Sollten wichtige Daten drauf sein, ist das Riskio recht hoch das diese mit infiziert worden sind, falls man diese noch sichern will. Oder Platte ausbauen an einen sauberen PC hängen, wo nur BS installiert ist und die betreffenden Dateien checken, schließt aber nicht aus das sie bereits manipuliert worden sind und das Programm den Schadcode in besagter Datei nicht findet.
Abraten würde ich davon, das *verseuchte System* zu flicken.
U
User002
Guest
Wieso eigentlich? Falls es sich um einen Virus handelt, müsste der doch ziemlich clever sein, um eine ordentliche Systemreinigung zu überstehen, da ja anscheinend immer die gleichen Routinen greifen, falls er sich selbst wieder aktiviert..
Wenn das der Fall ist, dann müsste man es ja auch bemerken, wenn das Problem kurze Zeit später wieder auftaucht..
Ich tendiere aber in solchen Fällen auch eher dazu das System neu aufzusetzen und vorher die HD komplett zu überschreiben..
Ansonsten mach ich bei mir das meistens so..
Backup erstellen.
Alle Treiber deinstallieren. Virenprogramm /Firewall austauschen
In den Ordneroptionen aktiviere ich daß alle (versteckten,(System) ) Dateien mit Dateiendungen angezeigt werden, bzw. schau mir mal die Zugriffsoptionen an und ändere die gegebenenfalls.
Deaktivieren der Systemwiederherstellung,
Löschen der Temp Dateien unter "Lokale Einstellungen..>"
Virenscan mit verschiednen Scannern - dabei im Menü der Antivirensoftware die Optionen überprüfen, ggf. anpassen daß alle Dateien gescannt werden..
Mit einem zweiten Virenscanner gegentesten
Das System mit einer Rettungs CD/DVD starten und die neuesten Virendefinitionsdateien runterladen/einbinden..
Systempartition nochmal von CD/DVD scannen.
Wenn man bei der Prozedur konsequent arbeitet hilft das in vielen Fällen, wobei eine Neuinstall und anschließend ein frisches Backup meist sinnvoller ist...
Neuinstallation geht mit entsprechender Vorbereitung auch ziemlich fix..Je nach BS und Service Pack empfehle ich da ein Update Pack runterzuladen..
Dazu - falls notwendig - DirectX 9c redistributable -.net 2.0 redistributable Java (Offline Installation) usw... und eben alle notwendigen Treiber und programme in der neuesten Version.
Wenn man bei der Installation alle Daten auf einer seperaten SATA Festplatte als Quelle vorhält dann geht eine komplette Neuinstallation von Windows in kurzer Zeit, und man spart sich nervige Online Update - Sessions die Stunden in Anspruch nehmen können..
Grüße!
Zuletzt bearbeitet:
Weil man ja nie wissen kann wie tief sich der Virus eingegraben hat.
ABer ganz im Vertrauen ich mache das auch nicht immer. Wenn ein Virus sofort geblockt wurde setze ich das System bestimmt nicht neu auf. Und wenn er nach einem Update einen Virus erkennt starte ich lieber Vista 64 und lasse von dort aus XP reinigen.
Wenn ich aber nur ein OS hätte dann würde ich wohl das System doch lieber neu aufsetzen.
Bastlwastl
Cadet
- Mitglied seit
- 06.10.2006
- Beiträge
- 26
- Renomée
- 1
Ich poste hier ja nicht oft, aber... ahhh ich verkneif mir was mir auf der Zunge liegt, nur mal zwei Sachen zum nachdenken:
Du kennst den Quellcode der Schadsoftware? Du "verstehst" das auch und kannst das nachvollziehen?
Wenn sich der Code nicht morphisch verändert (und das ist gang und gäbe) und überhaupt noch gefunden wird?
just my2cent
Jede Woche ein Image von Acronis und gut ist
eR1K1
Vice Admiral Special
U
User002
Guest
Keine Ahnung - im endeffekt unterscheide ich da zwischen 2 Varianten Schadsoftware. Einmal welche die unentdeckt bleiben möchte und einmal Software die Schaden am Rechner oder Dateien nimmt. Dazu gehe ich immer vom Worst Case und vom gesunden Menschenverstand der User aus...
100% Sicherheit gibts im Internet nicht - man kann da höchstens den Grad der Sicherheit erhöhen und seinen rechtlichen Verpflichtungen beikommen.(System aktuell halten, gängige Sicherheitssoftware installieren...
Darauf aufbauend speichere ich wichtige Dateien doppelt und hab keinen Schweinekram/Illegales auf meinen InternetPCs gespeichert...Und unter diesen Gesichtspunkten ist Sicherheit am PC relativ und auch abhängig von dem Aufwand den man mit seinen Rechnern betreibt..
Ich bin mir auch nicht sicher ob mein Image 100% Virenfrei/Schadsoftwarefrei ist, oder der Hersteller nicht was im Quellcode eingeschleust hat, oder was sich meine installierten Programme runterladen wenn ich ein Update mache.. oder, oder ?
Ansonsten sehe ich das aber auch so ähnlich, wobei ich lieber regelmäßig neu installiere und Backups sind bei mir eher fürs testen von neuen Programmen da. Inkremtielle Backups hab ich noch nie genutzt, wenn dann direkt nach der kompletten Neuinstallation und Einrichtung der relevanten Programme ein Backup der Systempartition
Grüße!
[P3D] Crazy_Chris
Grand Admiral Special
Natürlich gibts auch zu jedem Fehlalarm auch einen echten Alarm. Avira denkt sich die Viren ja nicht aus.
Die *.tmp sollte aber eh bedenkenlos gelöscht werden können. Extra das System neu aufzusetzen halte ich doch etwas für üebrtrieben. Ist ja quasi ein Eingeständnis an den Virenprogrammierer.
Zuletzt bearbeitet:
baldulin
Vice Admiral Special
Hallo hacki,
- erstmal Danke für die Antwort, bin erst die Woche zu meinen Eltern gekommen um das ganze anzugehen. Hatte aber Probleme mit ComboFix obwohl ich den noch angeblich vorhandenen Avira Virusscanner deinstalliert habe ?? !
Gruss, baldulin.
- erstmal Danke für die Antwort, bin erst die Woche zu meinen Eltern gekommen um das ganze anzugehen. Hatte aber Probleme mit ComboFix obwohl ich den noch angeblich vorhandenen Avira Virusscanner deinstalliert habe ?? !
Gruss, baldulin.
nochdigger
Cadet
Moin
dieses Tool laufen lassen
http://dl1.pro.antivir.de/down/windows/registrycleaner_de.zip
anschließend wie hacki beschrieben hat, die Programme laufen lassen und alle Logs hierher posten.
MFG
dieses Tool laufen lassen
http://dl1.pro.antivir.de/down/windows/registrycleaner_de.zip
anschließend wie hacki beschrieben hat, die Programme laufen lassen und alle Logs hierher posten.
MFG
baldulin
Vice Admiral Special
Hallo hacki & nochdigger,
@nochdigger, Tool hat von Dir soweit funktioniert das ComboFix problemlos laufen konnte.
@hacki / nochdigger; hier meine Logfile von HiJackThis, wenn benötigt noch im Anhang die Logfile von ComboFix.txt und Anti Malware (die zweite logfile ist die Datei nachdem ich 2 Meldungen gelöscht habe)
@nochdigger, Tool hat von Dir soweit funktioniert das ComboFix problemlos laufen konnte.
@hacki / nochdigger; hier meine Logfile von HiJackThis, wenn benötigt noch im Anhang die Logfile von ComboFix.txt und Anti Malware (die zweite logfile ist die Datei nachdem ich 2 Meldungen gelöscht habe)
Zuletzt bearbeitet:
nochdigger
Cadet
Moin
Wenn ja, was...
BTW. Betreibst du Onlinebanking und hast du das Windowssicherheitscenter deaktiviert?
MFG
hat Combofix etwas entfernt im ersten Durchlauf?
Wenn ja, was...
BTW. Betreibst du Onlinebanking und hast du das Windowssicherheitscenter deaktiviert?
MFG
baldulin
Vice Admiral Special
Hi,
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
musste ich dann manuell entfernen indem ich auf MARKIERTES ENTFERNEN geklickt habe.
- nein, hab das Windowssicherheitscenter nicht deaktiviert hab davor nur XP AntiSpy 3.97.3 mit der Einstellung "EMPFOHLEN" ausgeführt und übernommen.
so war es generell und so war es bevor ich comboFix ausgeführt habe:
Danke,
Gruss, baldulin.
- also er hat zwei Meldungen gemachtMoin
hat Combofix etwas entfernt im ersten Durchlauf?
Wenn ja, was...
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
musste ich dann manuell entfernen indem ich auf MARKIERTES ENTFERNEN geklickt habe.
- Ja, mein Papa macht Onlinebanking.
- nein, hab das Windowssicherheitscenter nicht deaktiviert hab davor nur XP AntiSpy 3.97.3 mit der Einstellung "EMPFOHLEN" ausgeführt und übernommen.
so war es generell und so war es bevor ich comboFix ausgeführt habe:
Danke,
Gruss, baldulin.
hacki
Grand Admiral Special
Das HiJackThis Log sieht soweit ok aus.
Kannst ja mal die Antivir RescueCD runterladen, auf CD brennen und davon booten..
http://dl1.pro.antivir.de/package/rescue_system/common/en/rescue_system-common-en.iso
Kannst ja mal die Antivir RescueCD runterladen, auf CD brennen und davon booten..
http://dl1.pro.antivir.de/package/rescue_system/common/en/rescue_system-common-en.iso
nochdigger
Cadet
Hallo
Onlinebanking sollte mit diesem System nicht mehr betrieben werden.
Ich denke, du solltest mal mit mindestens 5 Programmen (Gmer und Blacklight auf jeden Fall) von hier
http://www.hijackthis-forum.de/tipps-tricks/20219-antirootkit-scanner-anleitung.html
dein System prüfen, eventuell steck da noch mehr als uns allen lieb ist![:]](https://www.planet3dnow.de/vbulletin/images/smilies/rolleyes.gif "Augen rollen (sarkastisch) :]")
, poste die Logs/Funde bitte hierher.
MFG
Onlinebanking sollte mit diesem System nicht mehr betrieben werden.
Ich denke, du solltest mal mit mindestens 5 Programmen (Gmer und Blacklight auf jeden Fall) von hier
http://www.hijackthis-forum.de/tipps-tricks/20219-antirootkit-scanner-anleitung.html
dein System prüfen, eventuell steck da noch mehr als uns allen lieb ist
, poste die Logs/Funde bitte hierher.MFG
baldulin
Vice Admiral Special
Hi,
Obwohl, ich glaube da gibts ja auch so eine seite wo man seine logfile online prüfen lassen kann, kanns ja auch selber mal dort durchlaufen lassen,... jetzt geh ich aber schlafen.
Gruss, baldulin.
- das soll sich jetzt nicht negativ anhören aber wie kommst Du darauf das da evtl noch mehr drinn steckt als gemeint ? Aus welchen Meldungen von der HiJackThis Logfile liest Du das herraus ?Hallo
dein System prüfen, eventuell steck da noch mehr als uns allen lieb ist
Obwohl, ich glaube da gibts ja auch so eine seite wo man seine logfile online prüfen lassen kann, kanns ja auch selber mal dort durchlaufen lassen,... jetzt geh ich aber schlafen.
Gruss, baldulin.
baldulin
Vice Admiral Special
Hallo hacki,
2 Alarm Meldungen kamen:
ALERT: [Appl/PsExec.E]/mnt/hda1/Dokumente und Einstellungen/MS-Kunde/Eigene Dateien/XYZ/ComboFix/ComboFix.exe ---> 32788R22FWJFW\psexec.cfexe <<< Contains detection pattern of the application Appl/PsExec.E
ALERT: [Appl/PsExec.E]/mnt/hda1/System Volume Information/_restore(6DD98881-FF93-4005-9FEE-11A94F4D03F5)/RP4/A0000504.exe <<< Contains detection pattern of the application Appl/PsExec.E
Was bedeuten jetzt diese Meldungen für mich ?? ?
merci,
Gruss, baldulin.
- so, hab die RescueCD jetzt gerade bei meinen Eltern durchlaufen lassen...
2 Alarm Meldungen kamen:
ALERT: [Appl/PsExec.E]/mnt/hda1/Dokumente und Einstellungen/MS-Kunde/Eigene Dateien/XYZ/ComboFix/ComboFix.exe ---> 32788R22FWJFW\psexec.cfexe <<< Contains detection pattern of the application Appl/PsExec.E
ALERT: [Appl/PsExec.E]/mnt/hda1/System Volume Information/_restore(6DD98881-FF93-4005-9FEE-11A94F4D03F5)/RP4/A0000504.exe <<< Contains detection pattern of the application Appl/PsExec.E
Was bedeuten jetzt diese Meldungen für mich ?? ?
merci,
Gruss, baldulin.
die 1. meldung meldet wohl ein false positive auf combofix. nichts beunruhigendes. die 2. meldung sagt dir, dass in einem der systemwiederherstellungspunkte ein virus abgelegt ist.
gehe in die systemsteuerung und deaktiviere die systemwiderherstellung. danach aktiviere sie wieder nach einem neustart. dann nochmal scannen.-
gehe in die systemsteuerung und deaktiviere die systemwiderherstellung. danach aktiviere sie wieder nach einem neustart. dann nochmal scannen.-
hacki
Grand Admiral Special
Hallo zusammen!
Netbuster hat ja schon alles Nötige gesagt
Dachte aber dass die Systemwiederherstellung deaktiviert wurde, so wie ich es in meinem ersten Posting empfohlen hatte
Netbuster hat ja schon alles Nötige gesagt
Dachte aber dass die Systemwiederherstellung deaktiviert wurde, so wie ich es in meinem ersten Posting empfohlen hatte