Trojanerbefall benötige Hilfe

Hallo zusammen,

ein PC ein unserem Netzwerk ist durch den Virus / Trojaner
TR/Crypt.XPACK.GEN
befallen.

Die Software AntiVir hat alleine heute den Trojaner ca. 30 gemeldet und gelöscht.

Eine Auswirkung des Trojaner ist das der Prozeß svchost den PC zu 100% auslastet und die Internetverbindung dauerhaft Daten sendet.

Habe schon mit HiJack eine Anaylse gemacht, komme aber nicht weiter. Sitze seit 2 Tagen an diesem Problem.

Kann mir jemand helfen ?

Gruß Thomas

 

hallo,
wo wird der kamerad gefunden?
bitte poste die meldungen von antivir(ansicht, übersicht, ereignisse).
*
http://download.bleepingcomputer.com/sUBs/dds.scr
auf den desktop herunterladen und ausführen.

es öffnen sich zwei logs, dds.txt und attach.txt.

im dds.txt-fenster drückst du strg+a, strg+c und fügst das log mittels strg+v in diesen thread ein.

 

Hallo zusammen,

hier eine Bildschirmkopie der Meldungen von AntiVir:



Mir ist dabei allerdings aufgefallen das der Online Virenscanner von Trendmicro angemeckert wird.

Gruß Thomas

 

Ist der link von X- MAN so schwer zu verstehen?
Dat solltest machen......

lasse bitte dein System mit >Malwarebytes Anti-Malware< scannen- lasse vorerst nichts beheben

 

Hallo zusammen,

habe jetzt mit Malwarebytes einen Schnellscan durchführen lassen. Es wurde nichts gefunden, hier das Ergebnis:

Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3289
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

26.12.2009 19:58:23
mbam-log-2009-12-26 (19-58-23).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 123283
Laufzeit: 5 minute(s), 39 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Gruß
Thomas

 

Hallo zusammen,

also meine Antwort ist scheinbar verschwunden. Die das Ergebnis des Laufs mit Malwarebytes:

Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3289
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

26.12.2009 19:58:23
mbam-log-2009-12-26 (19-58-23).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 123283
Laufzeit: 5 minute(s), 39 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Gruß
Thomas

 

Wenn der PC schon seit zwei oder mehr Tagen verseucht ist, sind Rettungsmaßnahmen viel zu spät. Der PC hätte sofort vom Netzwerk getrennt und dann Logdateien erstellt werden müssen.
Er gefährdet die anderen PCs des Netzwerks.

 

Hallo zusammen,

hier das Ergebniss des vollständigen Prüflaufs.

Ich habe heute allerdings auch schon die Datei siszyd32.exe mit HiJack entfernt. Der Prozess svchost war immer bei 100% CPU Last.
Die Datei siszyd32.exe wird von HiJack nicht mehr gelistet.
Als ich aber den Netzwerkstecker wieder in den Computer gesteckt habe, war der Prozess svchost gleich wieder bei 100% und die Netzwerkverbindung aktiv.

Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3289
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

26.12.2009 21:34:44
mbam-log-2009-12-26 (21-34-44).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 208533
Laufzeit: 58 minute(s), 27 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden

Gruß
Thomas

 

Mach mal bitte ein Hijackthis-Log.
Die Datei wird im Anhang hoch geladen!

 

Hallo zusammen,

hier ein HiJack Log von heute nachmittag, nachdem entfernen von siszyd32.exe.

Gruß
Thomas

 

Weißt du, was das ist?
O4 - Global Startup: NaturalColorLoad.lnk = ?
Scanne den PC mal mit dieser CD
http://www.free-av.de/de/tools/12/avira_antivir_rescue_system.html
Ich fürchte, er ist Teil eines Botnetzes.

 

bredolab. da würde ich nicht lange zögern und den sauberen neuanfang wagen.
datensicherung
http://forum.chip.de/viren-trojaner...fizierten-datentraegern-rechnern-1133907.html,
neuaufsetzen
http://www.trojaner-board.de/51262-anleitung-neuaufsetzen-des-systems-absicherung.html,
passwörter ändern.

 

Hallo zusammen,

ich setze den PC gerade neu auf, bin im Moment bei der Datensicherung.

Aber die Sache mit ubuntu ist extrem lahm. Das Betriebssystem benötigt ca. 15min zum laden.
Das Kopieren der Daten ist auch nicht gerade sehr schnell, außerdem sehe ich nach einem längern Kopiervorgang nicht wann dieser abgeschlossen ist. Habe eben nach ca. 2h das Betriebssystem runtergefahren, es sah noch so aus als würde kopiert war aber schon fertig.
So dauert die Datensicherung ja eine Woche.

Gibt es keine anderen Möglichkeiten eine Betriebssystem von CD zu starten was deutlich schneller arbeitet?

Gruß Thomas

 

hallo,
als alternative würde sich z.b. das
http://puppylinux.org/main/index.php?file=Download Latest Release.htm
anbieten.