Computerhilfen.de Logo
Forum
Tipps
News

Virus C:\win32 cryptor

Hallo Leute
Ich habe bei meinem Vater den Virenscanner duchlaufen lassen . Dabei stellte ich fest, dass er 8 Viruse gefunden hatte.Diese Viren zeigten an : C:\win32 cryptor. Was ist das ?????? Wie bekomm ich das wieder weg ???  Er benutzt den AFG Anti Vir.
Das System :
Windows Xp .

Vielen Dank schon mal im Vorraus
 



Antworten zu Virus C:\win32 cryptor:

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Hallo arbeite folgendes bitte ab:

Ladt dir Hijackthis runter und erstelle damit ein Logfile. Anleitung siehe hier:
Anleitung Hijackthis

Außerdem mache einen Scan mit Malwarebytes, lasse alle Funde löschen und Poste den Report hier:

Anleitung:
Anleitung Malwarebytes

Und zum guten schluss auch Combofix benutzen und Logfile posten!!
Combofix

Gruß Deniz

cool danke
aber ich machs morgen und poste dann danke schon mal!!!

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Alles kla mach das  ;)

hallo
habe mir jetzt alles runtergeladen und versucht zu installieren . Aber irgendwie blockt das der wurm oder trojaner ( ? ) ab . Die Datei lässt sich nicht öffnen.

Allerdings hatten wir ein programm drauf mit dem sich das gleiche mache lässt was du mir gesagt hast . ( Hoffe ich zumindenst )
Ich poste sie einfach mal :












GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-05-23 13:40:15
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

Code            84FE4E58                                                                                                              ZwEnumerateKey
Code            84FF2E58                                                                                                              ZwFlushInstructionCache
Code            84FE5CBE                                                                                                              IofCallDriver
Code            850DB25E                                                                                                              IofCompleteRequest

---- Kernel code sections - GMER 1.0.14 ----

.text           TUKERNEL.EXE!IofCallDriver                                                                                            804E13A7 5 Bytes  JMP 84FE5CC3
.text           TUKERNEL.EXE!IofCompleteRequest                                                                                       804E17BD 5 Bytes  JMP 850DB263
PAGE            TUKERNEL.EXE!ZwEnumerateKey                                                                                           80578E14 5 Bytes  JMP 84FE4E5C
PAGE            TUKERNEL.EXE!ZwFlushInstructionCache                                                                                  80587BFB 5 Bytes  JMP 84FF2E5C

---- User code sections - GMER 1.0.14 ----

.text           C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe[224] ntdll.dll!LdrLoadDll                                                           7C9263C3 5 Bytes  JMP 0070000A
.text           C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe[224] ntdll.dll!LdrUnloadDll                                                         7C92738B 5 Bytes  JMP 0071000A
.text           C:\WINDOWS\System32\alg.exe[248] ntdll.dll!LdrLoadDll                                                                 7C9263C3 5 Bytes  JMP 0075000A
.text           C:\WINDOWS\System32\alg.exe[248] ntdll.dll!LdrUnloadDll                                                               7C92738B 5 Bytes  JMP 0077000A
.text           C:\WINDOWS\RTHDCPL.EXE[336] ntdll.dll!LdrLoadDll                                                                      7C9263C3 5 Bytes  JMP 01AD000A
.text           C:\WINDOWS\RTHDCPL.EXE[336] ntdll.dll!LdrUnloadDll                                                                    7C92738B 5 Bytes  JMP 01AE000A
.text           C:\Programme\avmwlanstick\WlanNetService.exe[412] ntdll.dll!LdrLoadDll                                                7C9263C3 5 Bytes  JMP 0070000A
.text           C:\Programme\avmwlanstick\WlanNetService.exe[412] ntdll.dll!LdrUnloadDll                                              7C92738B 5 Bytes  JMP 0071000A
.text           C:\Programme\Java\jre6\bin\jqs.exe[612] ntdll.dll!LdrLoadDll                                                          7C9263C3 5 Bytes  JMP 0072000A
.text           C:\Programme\Java\jre6\bin\jqs.exe[612] ntdll.dll!LdrUnloadDll                                                        7C92738B 5 Bytes  JMP 0073000A
.text           C:\Programme\Kodak\printer\center\KodakSvc.exe[692] ntdll.dll!LdrLoadDll                                              7C9263C3 5 Bytes  JMP 0070000A
.text           C:\Programme\Kodak\printer\center\KodakSvc.exe[692] ntdll.dll!LdrUnloadDll                                            7C92738B 5 Bytes  JMP 0071000A
.text           C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe[784] ntdll.dll!LdrLoadDll                                         7C9263C3 5 Bytes  JMP 0081000A
.text           C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe[784] ntdll.dll!LdrUnloadDll                                       7C92738B 5 Bytes  JMP 0082000A
.text           C:\PROGRA~1\AVG\AVG8\avgtray.exe[804] ntdll.dll!LdrLoadDll                                                            7C9263C3 5 Bytes  JMP 00BD000A
.text           C:\PROGRA~1\AVG\AVG8\avgtray.exe[804] ntdll.dll!LdrUnloadDll                                                          7C92738B 5 Bytes  JMP 00BE000A
.text           C:\PROGRA~1\AVG\AVG8\avgrsx.exe[872] ntdll.dll!LdrLoadDll                                                             7C9263C3 5 Bytes  JMP 0073000A
.text           C:\PROGRA~1\AVG\AVG8\avgrsx.exe[872] ntdll.dll!LdrUnloadDll                                                           7C92738B 5 Bytes  JMP 0074000A
.text           C:\PROGRA~1\AVG\AVG8\avgnsx.exe[880] ntdll.dll!LdrLoadDll                                                             7C9263C3 5 Bytes  JMP 0079000A
.text           C:\PROGRA~1\AVG\AVG8\avgnsx.exe[880] ntdll.dll!LdrUnloadDll                                                           7C92738B 5 Bytes  JMP 007A000A
.text           C:\WINDOWS\system32\nvsvc32.exe[904] ntdll.dll!LdrLoadDll                                                             7C9263C3 5 Bytes  JMP 006C000A
.text           C:\WINDOWS\system32\nvsvc32.exe[904] ntdll.dll!LdrUnloadDll                                                           7C92738B 5 Bytes  JMP 006D000A
.text           C:\Programme\avmwlanstick\wlangui.exe[1004] ntdll.dll!LdrLoadDll                                                      7C9263C3 5 Bytes  JMP 00D7000A
.text           C:\Programme\avmwlanstick\wlangui.exe[1004] ntdll.dll!LdrUnloadDll                                                    7C92738B 5 Bytes  JMP 00D8000A
.text           C:\Programme\Java\jre6\bin\jusched.exe[1140] ntdll.dll!LdrLoadDll                                                     7C9263C3 5 Bytes  JMP 00BB000A
.text           C:\Programme\Java\jre6\bin\jusched.exe[1140] ntdll.dll!LdrUnloadDll                                                   7C92738B 5 Bytes  JMP 00BD000A
.text           C:\WINDOWS\System32\TUProgSt.exe[1232] ntdll.dll!LdrLoadDll                                                           7C9263C3 5 Bytes  JMP 0076000A
.text           C:\WINDOWS\System32\TUProgSt.exe[1232] ntdll.dll!LdrUnloadDll                                                         7C92738B 5 Bytes  JMP 0078000A
.text           C:\WINDOWS\axplorer.exe[1244] ntdll.dll!LdrLoadDll                                                                    7C9263C3 5 Bytes  JMP 00B1000A
.text           C:\WINDOWS\axplorer.exe[1244] ntdll.dll!LdrUnloadDll                                                                  7C92738B 5 Bytes  JMP 00B3000A
.text           C:\WINDOWS\system32\winlogon.exe[1312] ntdll.dll!LdrLoadDll                                                           7C9263C3 5 Bytes  JMP 0068000A
.text           C:\WINDOWS\system32\winlogon.exe[1312] ntdll.dll!LdrUnloadDll                                                         7C92738B 5 Bytes  JMP 0069000A
.text           C:\WINDOWS\system32\services.exe[1408] ntdll.dll!LdrLoadDll                                                           7C9263C3 5 Bytes  JMP 0064000A
.text           C:\WINDOWS\system32\services.exe[1408] ntdll.dll!LdrUnloadDll                                                         7C92738B 5 Bytes  JMP 0065000A
.text           C:\WINDOWS\system32\lsass.exe[1420] ntdll.dll!LdrLoadDll                                                              7C9263C3 5 Bytes  JMP 0071000A
.text           C:\WINDOWS\system32\lsass.exe[1420] ntdll.dll!LdrUnloadDll                                                            7C92738B 5 Bytes  JMP 0075000A
.text           C:\WINDOWS\system32\spoolsv.exe[1888] ntdll.dll!LdrLoadDll                                                            7C9263C3 5 Bytes  JMP 0097000A
.text           C:\WINDOWS\system32\spoolsv.exe[1888] ntdll.dll!LdrUnloadDll                                                          7C92738B 5 Bytes  JMP 0098000A
.text           C:\WINDOWS\system32\wbem\wmiprvse.exe[1964] ntdll.dll!LdrLoadDll                                                      7C9263C3 5 Bytes  JMP 0081000A
.text           C:\WINDOWS\system32\wbem\wmiprvse.exe[1964] ntdll.dll!LdrUnloadDll                                                    7C92738B 5 Bytes  JMP 0085000A
.text           C:\WINDOWS\system32\ctfmon.exe[2004] ntdll.dll!LdrLoadDll                                                             7C9263C3 5 Bytes  JMP 0098000A
.text           C:\WINDOWS\system32\ctfmon.exe[2004] ntdll.dll!LdrUnloadDll                                                           7C92738B 5 Bytes  JMP 0099000A
.text           C:\Dokumente und Einstellungen\mein Pc\Desktop\Tralala.exe[2620] ntdll.dll!LdrLoadDll                                 7C9263C3 5 Bytes  JMP 009E000A
.text           C:\Dokumente und Einstellungen\mein Pc\Desktop\Tralala.exe[2620] ntdll.dll!LdrUnloadDll                               7C92738B 5 Bytes  JMP 009F000A
.text           C:\Programme\AVG\AVG8\avgcsrvx.exe[3332] ntdll.dll!LdrLoadDll                                                         7C9263C3 5 Bytes  JMP 009E000A
.text           C:\Programme\AVG\AVG8\avgcsrvx.exe[3332] ntdll.dll!LdrUnloadDll                                                       7C92738B 5 Bytes  JMP 009F000A

---- Devices - GMER 1.0.14 ----

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                              avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                             avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                             avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                           avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                              fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- Processes - GMER 1.0.14 ----

Library         \\?\globalroot\systemroot\system32\UACidaxmabprswaywu.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1044]  0x00A10000                                                               
Library         \\?\globalroot\systemroot\system32\UACidaxmabprswaywu.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1600]  0x00A10000                                                               
Library         \\?\globalroot\systemroot\system32\UACidaxmabprswaywu.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1668]  0x00A10000                                                               
Library         \\?\globalroot\systemroot\system32\UACidaxmabprswaywu.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1728]  0x00A10000                                                               
Library         \\?\globalroot\systemroot\system32\UACidaxmabprswaywu.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1788]  0x00A10000                                                               
Library         \\?\globalroot\systemroot\system32\UACidaxmabprswaywu.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1820]  0x00A10000                                                               
Library         \\?\globalroot\systemroot\system32\UACidaxmabprswaywu.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1996]  0x00A10000                                                               

---- EOF - GMER 1.0.14 ----
 

HEy kommt leute ich brauch ne schnelle antwort :-)

 ;)

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Schleunigst formatieren!!

Dein System hat Rootkits onboard.
 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button
Schleunigst formatieren!!

Dein System hat Rootkits onboard.
 

Wäre schön ,wenn Du das mal erläuterst und nicht nur behauptest..... ich würde gerne was lernen ...

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Sorry mein Fehler HCK.

Der Scan mit Gmer zeigt folgende Funde an:

Library         \\?\globalroot\systemroot\system32\UACidaxmabprswaywu.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1044]  0x00A10000                                                               
Library         \\?\globalroot\systemroot\system32\UACidaxmabprswaywu.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1600]  0x00A10000                                                               
Library         \\?\globalroot\systemroot\system32\UACidaxmabprswaywu.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1668]  0x00A10000                                                               
Library         \\?\globalroot\systemroot\system32\UACidaxmabprswaywu.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1728]  0x00A10000                                                               
Library         \\?\globalroot\systemroot\system32\UACidaxmabprswaywu.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1788]  0x00A10000                                                               
Library         \\?\globalroot\systemroot\system32\UACidaxmabprswaywu.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1820]  0x00A10000                                                               
Library         \\?\globalroot\systemroot\system32\UACidaxmabprswaywu.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1996]  0x00A10000       


Wenn man sich dann folgendes anguckt diese Datei:

globalroot\systemroot\system32\UACidaxmabprswaywu.dll

Die Datei wurde von Gmer (Tool zur Rootkitsuche) als Infiziert erkannt.

Man sieht hier auch schön das dass System komprimittiert ist.

 (*** hidden *** )  @C:\WINDOWS\system32\svchost.exe

Noch Fragen HCK ?

Gruß Deniz

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Nein , Danke ....
Wo bekommst Du die Infos bloß immer her .... ? 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Welche Infos ? 

HCK das kann man auf bestimmten Boards lernen ;)

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button
HCK das kann man auf bestimmten Boards lernen ;)

Und WO ist geheim ?
Nicht , dass ich das auch noch ALLES wissen muss ...  :-[::):D

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Das Mitlesen in Foren wie zb. Paules-PC-Forum oder Hijackthis Forum bringt einem schon en ganzes Stück weiter.

Wenn man dann noch ne "kleine Ausbildung" macht, wird es noch detaillierter, man lernt mehr Programme kennen,man lernt das manuelle löschen in der Registry per Hand oder .Reg oder .bat Datei etc.

danke für die infos aber was mache ich jetzt ????


« Zwei Virenscanner auf einem System?Windows XP: hallo ich habe ein riesen problem ich habe mir gestern einen virus eingefangen »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!