Computerhilfen.de Logo
Forum
Tipps
News
Frage stellen

Trojaner TR/Crypt.PEC2X.Gen in temp-Ordner

Hallo Leute,

obwohl ich eigentlich immer Acht gebe. hab ich mir wohl nen Trojaner eingefangen, ANtivir Guard hat den gestern schon gemeldet:
"In der Datei 'C:\WINDOWS\Temp\gos15.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.PEC2X.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen"

Habe darufhin gelöscht, *.tmp dateien gelöscht, alles geupdated und Spybot und Antivir nochmal checken lassen - der Spybot fand Virtumonde Einträge in der Registry, aber davon hatte ich bisher noch nichts gemerkt.

So nun dachte ich ich bin alles los, bis sich heute morgen kurz nach dem Einwählen ins Netz der Antivir Guard wieder meldet, gleicher Trojaner gleiche Datei  ???

Naja wieder gelöscht, und mit XPClean Temp-Ordner gesäubert.

Woher kommt das Teil? Wie krieg ich den los?

System: XP Prof SP2,nutze Antivir und SPybot

Bitte helft mir, danke!



Antworten zu Trojaner TR/Crypt.PEC2X.Gen in temp-Ordner:

Schalte zuerst die Funktion Teatimer bei dem Programm Spybot Search &Destroy aus.
Wie das geht sagt dir Google.
Sodann suchst du den "abgesicherten Modus " auf,auch da zeigt dir Google sicherlich wie das geht, und mache mit Antivir einen Vollscan und dann postest du die Ergebnisse hier.
Stelle vorher Antivir ein ,wie es dir hier gezeigt wird :

http://www.trojaner-board.de/54192-anleitung-avira-antivir-agressive-einstellungen.html

Wichtig zu posten ist der Pfad mit der vollständigen Meldung
...und lass dich von strullern nicht zu anderen unnötigen Dingen hier überreden...
Der Meister

Hallo Meister,

danke, ich mach das gleich nachher mit dem Scan von Antivir. Teatimer hatte ich soweiso abgeschaltet, weil der mich nervt... *schäm*

Nur noch ein kleiner Nachtrag:

Habe gerade aktuelle version von spybot runtergeladen, virtumonde war wieder drauf (regeintrag)...

Gruß

...und in China ist ein Sack Reis umgefallen.....

Ohne eine genaue Pfadangabe ist dir nicht zu helfen...
Entweder du begreifst das langsam oder du kannst dir selber besser helfen...
Mach was dir geraten wird !!
Wenn ich einen Befund von Spybot brauche werde ich dich das rechtzeitig wissen lassen !!
Bis dahin läßt du das für diesen Zweck untaugliche Programm bitte in Ruhe !!

Erstelle unbedingt auch ein Logfile mittels des Programms Hijackthis und poste dieses hier ohne es zu verändern !!
Einfach mit kopieren und hier einfügen...
Der Meister

...und in China ist ein Sack Reis umgefallen.....

Ohne eine genaue Pfadangabe ist dir nicht zu helfen...
Entweder du begreifst das langsam oder du kannst dir selber besser helfen...
Mach was dir geraten wird !!

hey bleib mal freundlich! das war nur ein nachtrag von mir, ich kann ja nicht riechen was du sehen willst!

So und nun noch 2 Fragen zum aufregen:

1) antivir hat im abgesicherten modus ncihts gefunden, soll ich den Report trotzdem posten?
 Wenn du den pfad meinst, wo der trojaner gefunden wurde, das ist der wie oben genannt.

2) Hab im abgesicherten modus auch spybot laufen lassen, virtumonde wieder gefunden und gelöscht, sind da nähere angaben relevant? Bringt der virtumonde entferner von symantec was?

3) hab ein HJT Logfile im abgesicherten modus gemacht und im normalmodus, laut auswertugn beide ok,. nichts auffälliges, trotzdem posten?

Ich hoffe mall der trojaner ist weg, nur virtumonde muss noch verschwinden.

Trotzdem danke für deine hilfe, nur der ton macht die musik ;)

LG
 

Mach doch mal das was hier im Forum steht:

http://www.computerhilfen.de/hilfen-17-235710-0.html#msg1169966

 

@linachen
Ein system reinigen ist zwar fürs erste hilfreich,jedoch ist das system nicht mehr vertrauenwürdig,daher neu instalieren,überflüssige dienste deaktivieren und gut ist.
Jegliche sonstige aktion ist sinnfrei,Auch wenn bestimmte leute hier etwas anderes sagen.sichere deine daten und formatiere die platte komplet.Dann neuinstalieren,fertig.
Vom sauberen system ein image auf eine andere platte machen,diese platte nach erfolgtem imqage in tresor legen.

Hallo zusammen,
habe auch das Problem, das Antivir den Trojaner TR/Crypt.XPACK.Gen erkennt. Und Zwar wird immer , wenn ich Firefox starte. Er wird dann eine .tmp Datei erzeugt. Habe das Programm Malwarebytes über meinen rechner laufen lassen, da Antivir nichts findet. Das Programm hat dann auch gleich zwei einträge gefunden und gelöscht.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Kann mir da jemand weiterhelfen?

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Hallo

Zitat
da Antivir nichts findet. Das Programm hat dann auch gleich zwei einträge gefunden und gelöscht.
Nein, hast du eben NICHT gelöscht:

Bad: (1) Good: (0) -> No action taken.
Bad: (1) Good: (0) -> No action taken.

No action taken-> Englisch<->Deutsch: nichts unternommen (dagegen).

Also:
Zuerst mal die Systemwiederherstellung deaktivieren.

Jetzt erneuter Scan, dann ->"delete on reboot" wählen / anklicken.

Den Rechner neustarten

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Normalerweise reicht da ein Neustart nach MBAM...
Kontrollscan nochmal danach ...

Sorry, hatte aus der verkehrten datei kopiert. Habe jetzt aus dem scanbericht kopiert.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Der Alarm kommt aber immer noch, wenn ich Firefox starte. Habe ich was verkehrt gemacht?

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

 

Zitat
Habe ich was verkehrt gemacht? 
-Du hast die Systemwiederherstellung vor dem Scan nicht ausgeschaltet.

-Du hast vermutlich eine Toolbar installiert im Firefox?

-Du hast dir von irgendwo Irgendwas geladen mit den entsprechenden "Beigaben". ;)

Dein Trojaner startet sich von selbst wieder, der ursprung liegt woanders demnach.

Der Pfad zu den infizierten Dateien ist ja angegeben.
Lösche diese von Hand in der Registry.

Zusätzlich:

Wichtig:
Zuerst Systemwiederherstellung deaktivieren!!!

Jetzt im "Abgesicherten Modus" starten. Danach Start->Ausführen-> regedit <eingeben und ok. Nun zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run navigieren und die unbekannten Schlüssel zu unbekannten Programmen löschen.

Danach zu HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run und ebenfalls schauen und die unbekannten Schlüssel zu unbekannten Einträgen ebenfalls löschen.
Editor schließen.

Dann Start->Ausführen-> msconfig < eingeben und ok. Im Reiter Systemstart nach unbekannten Einträgen suchen. Haken rausmachen.
Neustarten.


 

Habe alles gemacht, was mir aufgetragen würde. Der Trojaner ist aber immer noch da.
Habe Malwarebytes nochmal über das System laufen lassen und es hat nichts mehr gefunden.

Ja habe bei Firefox von google ne kleine Toolbar rechts oben in der Ecke, bekomme diese aber auch nicht weg. Kann es daran liegen?
 

Kann es sein, dass Antivir infiziert war? Habe deaktiviert und habe Firefox gestartet.
Es würde keine Datei im Temp-Ordner erzeugt. Daraufhin habe ich das Programm deinstalliert und neu draufgespielt und es wird keine Datei mehr erzeugt und auch keine Meldung mehr rausgegeben.
Kann das überhaupt sein?


« Windows 2000: TR/FraudPack.alprWindows XP: Taschenrechner von Windows Schaltet sich mehrmals ein »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Trojaner
Als Trojanisches Pferd, kurz auch Trojaner, versteht man Computerprogramme, die getarnt von einer nützlichen Anwendung, ohne Wissen des Anwenders im Hintergrund Scha...

Auslagerungsdatei
Die Auslagerungsdatei ist der virtuelle Speicher von Windows. Wenn der RAM-Speicher nicht ausreicht um mit den geöffneten Programmen weiter zu arbeiten, werden Daten...

Dateiendungen
Die Dateiendung, auch Dateierweiterung oder einfach "Endung" genannt, besteht aus meistens drei oder vier Buchstaben und wird mit einem Punkt an den Dateinamen angehä...