Trojaner TR/Crypt.ZPACK.Gen verursacht Fehler

Tigerfox

Tigerfox

Enthusiast
Thread Starter
Mitglied seit
29.08.2006
Beiträge
4.360
Ort
Bochum
Ich habe mir den oben genannten Trojaner wohl (als wbj.exe) von meinem MP3-Player zugezogen, von dem ich an einem Rechner im Druckladen an der Uni etwas gedruckt hatte.

Obwohl Avira ihn sofort erkannt hat, als ich den MP3-Player zum laden an den PC angeschlossen habe, hat er sich wohl ausgebreitet. Vor allem taucht er immer wieder im Odner "C:\System Volume Information\_restore{AD9246DC-B24D-48AA-825E-7535EA061E3D}\RP293\" als "A0069642.exe" auf.

Das Problem ist, dass ich auf den Ordner nicht zugreifen kann, um die Datei zu löschen und mir Avira nur die Option bietet zu "reparieren". Der Virus scheint nämlich bereits folgende Auswirkungen gehabt zu haben:

- Partitionen, auf denen Avira den Virus entdeckt hat, lassen sich nicht mehr normal öffnen, da das Fenster "öffnen mit..." erscheint, wenn ich sie im Arbeitsplatz öffnen will. Über die Adressleiste und den Explorer kann ich jedoch noch auf sie zugreifen.

- Wenn ich in den Ordneroptionen den Haken setze, um versteckte Dateien zu sehen, wird dies nicht gespeichert.

- wenn ich z.B. auf hardwareluxx.de (nicht hier im Forum) mich einlogen möchte, wird dies ebenfalls nicht gespeichert.

Vor allem Punkt 2 ist eine echte Behinderung. Was kann ich dagegen tun? Ich habe im Moment echt keine Zeit, mein System neu ausfzusetzen.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
schau mal ins Avira Forum...geht am schnellsten über google mit dem Namen des Trojaners...evtl. kann Dir dort schneller geholfen werden ;)
 
1. Computer sofort vom Netzwerk trennen. Jede Sekunde ist kostbar. Der Trojaner macht in der Zeit mehrere Sachen. Er verbreitet sich und zwar nicht nur auf deinem Rechner. Du infizierst also fleißig andere Leute. Außerdem verfolgt der Trojaner noch ein anderes Ziel. Wer weiß an wen er schon alles deine Passwörter verschickt hat ;) Bitte sofort den Rechner vom Netzwerk trennen und bereinigen. Wenn das jeder so machen würde, hättest du dir den Trojaner garnicht eingefangen.
2. PC im abgesicherten Modus staren und eine vollständige Systemprüfung mit einem Virenscanner deines Vertrauens starten. Vorher nochmal die Einstellungen des Virenscanners überprüfen.
3. Wenn der Virenscanner nicht hilft musst du wohl oder übel dein System neu aufsetzen. Normalerweise hat man für sowas Backups ;)
 
Mhm, so findet er garnichts mehr. Ich geh erstmal davon aus, dass der Virus beseitigt ist. Auf den Ordner kann ich ja auch im Abgesicherten Modus nicht zugreifen.

Jetzt informier ich mich mal, was ich gegen die Symptome machen kann.
 
Tigerfox schrieb:
Mhm, so findet er garnichts mehr.
Zum Vergrößern anklicken....

Dann stimmen deine Einstellungen nicht.

Ich geh erstmal davon aus, dass der Virus beseitigt ist.
Zum Vergrößern anklicken....

Von alleine sicher nicht. Gehe lieber davon aus, dass er immernoch infiziert ist aber dein Virenscanner es übersehen hat.

Auf den Ordner kann ich ja auch im Abgesicherten Modus nicht zugreifen.
Zum Vergrößern anklicken....

Schade. Ich hatte gedacht das klappt. Dann hilft nur eines. Linux Live CD. Damit gehts sicher.

Jetzt informier ich mich mal, was ich gegen die Symptome machen kann.
Zum Vergrößern anklicken....

Solange du den Rechner vom Netzwerk getrennt hast, hast du alle Zeit der Welt. Sollte der Rechner immernoch am Netz sein, solltest du darüber nachdenken auf Technik mit der du nicht umgehen kannst zu verzichten. Oberste Regel bei einem Virenbefall ist die Virenschleuder sofort vom Netz zu nehmen. Wer das nicht beachtet hat es nicht anders verdient und bekommt hoffentlich noch mehr Viren. Klingt jetzt sicherlich hart aber die Welt wäre um einige Viren ärmer, wenn sich jeder daran halten würde.
 
Und wie, Herr Schlaumeier, soll ich irgendetwas machen, ohne mit diesem Rechner ins Netz zu gehen? Ich hab nun erstmal alle anderen Rechner vom Netz genommen und auf Viren untersucht, ohne etwas zu finden.

Ich habe keine Linux live CD, also werd ich mir sowas ersteinmal besorgen müssen. Und ich sehe keinen Grund, warum mein Virenscanner, der vorher mehrfach diese Datei erkannt hat, das jetzt nicht mehr können sollte, wenn da noch ein Trojaner wäre.

Ich wüsste auch nicht, wie ich Avira noch schärfer einstellen könnte.

Ich poste mal, was der Scanner heute um 12:09 Uhr gefunden hat: Malware gefunden

"Die Datei 'C:\System Volume Information\_restore{AD9246DC-B24D-48AA-825E-7535EA061E3D}\RP293\A0069642.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen' [trojan].
Durchgeführte Aktion(en):
Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004.
Die Quelldatei konnte nicht gefunden werden.
Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen."

Im Verlauf dieser Nacht zwischen 3 Uhr und zuletzt um 5:30 Uhr hat Anvira Guard 4x diese Datei gefunden, die Aktion war immer Zugriff verweigern.

Wenn er tatsächlich noch da ist, dann weiss ich auch nicht, wie ich da ran kommen sollte, da ich ja nicht auf diesen Ordner zugreifen kann, auch nicht im Abgesicherten Modus über die Adressleiste.


EDIT: OK, da mein PC unter XP ständig einfriert oder Bluescreens produziert, muss ich bis auf weiteres unter Win7 RC arbeiten. Das Problem ist, ich muss heute für die Uni arbeiten und dafür brauche ich Internet und Word.

Ich habe gleube ich doch noch eine Linux Live CD mit einem integrierten Virenscanner, die allerdings schon ein paar Jahre alt ist und ich weiss nicht, wie ich die Virendefintionen dieser CD erneuere.
 
Zuletzt bearbeitet:
Tigerfox schrieb:
Und wie, Herr Schlaumeier,
Zum Vergrößern anklicken....

Ich bitte vielmals um Entschuldigung. Da verträgt wohl jemand keine Kritik...

soll ich irgendetwas machen, ohne mit diesem Rechner ins Netz zu gehen?
Zum Vergrößern anklicken....

Den Virenverseuchten PC vom Netz trennen und irgend einen anderen PC verwenden.

Ich hab nun erstmal alle anderen Rechner vom Netz genommen und auf Viren untersucht, ohne etwas zu finden.
Zum Vergrößern anklicken....

Das ist die egoistische Variante. Damit ist dein Netzwerk geschützt aber der Virus kann sich im Internet weiter verbreiten. Allerdings gebe ich zu, dass ich es zur Not genauso machen würde.

Ich habe keine Linux live CD, also werd ich mir sowas ersteinmal besorgen müssen.
Zum Vergrößern anklicken....

Nichts leichter als das. Da Antivir den Virus anscheinend erkennt empfehle ich dir das hier: http://www.free-av.de/de/tools/12/avira_antivir_rescue_system.html

Ich habe es aber selber noch nicht ausprobiert. Berichte doch bitte gleich mal von deinen Erfahrungen.

Und ich sehe keinen Grund, warum mein Virenscanner, der vorher mehrfach diese Datei erkannt hat, das jetzt nicht mehr können sollte, wenn da noch ein Trojaner wäre.
Zum Vergrößern anklicken....

Dafür gibt es mehrere Möglichkeiten.
1. Virenscanner scannt garnicht alle Datein sondern nur die wichtigen. Häufig werden nur installierte Programme und Windows gescannt nicht aber zum Beispiel ein angeschlossener USB Stick oder eine 2 Festplatte.
2. Der Virus versteckt sich vor dem Virenscanner.
3. Der Virus manipuliert den Virenscanner.

Wie auch immer. Die LiveCD sollte helfen.

Ich wüsste auch nicht, wie ich Avira noch schärfer einstellen könnte.
Zum Vergrößern anklicken....

Ich aus dem Kopf leider auch nicht. Ich schau nachher mal nach bevor ich jetzt was falsches sage. Standardkonfig von Antivir ist jedenfalls zu wenig.

Wenn er tatsächlich noch da ist, dann weiss ich auch nicht, wie ich da ran kommen sollte, da ich ja nicht auf diesen Ordner zugreifen kann, auch nicht im Abgesicherten Modus über die Adressleiste.
Zum Vergrößern anklicken....

Die LiveCD kann problemlos auf den Ordner zugreifen.

---------- Beitrag hinzugefügt um 15:54 ---------- Vorheriger Beitrag war um 15:51 ----------
Tigerfox schrieb:
Ich habe gleube ich doch noch eine Linux Live CD mit einem integrierten Virenscanner, die allerdings schon ein paar Jahre alt ist und ich weiss nicht, wie ich die Virendefintionen dieser CD erneuere.
Zum Vergrößern anklicken....

Besser als garnichts. Wenn es eine gute LiveCD ist, dann ist da auch ein Browser drauf. Damit kannst du dann mit gutem Gewissen nach einer Lösung suchen. Eventuell bietet der Virenscanner auch an ein Update zu machen. Da das Update nur im RAM gespeichert wird, müsstest du das Update bei jedem Neustart erneut laden.
 
Zuletzt bearbeitet:
Ich hab jetzt mal die Kaspersky Anti-virus 2010 Testversion am laufen und die meldete mir sogleich einen Trojaner in C:\autorun.inf

@little_skunk: Ja, tut mir leid, aber mit "nimm deinen" Rechner vom Netz kann ich in so einer Situation nicht viel anfangen.

Was versprichst du dir denn davon, Avira von einer linx-CD statt von Windows aus zu starten? Und was kann es dann machen, wenn es den Virus findet? Wahrscheinlich friert mein PC schon deshalb ein, weil ich schon Dateien gelöscht habe, die ich nicht hätte löschen sollen.
 
Tigerfox schrieb:
Ich hab jetzt mal die Kaspersky Anti-virus 2010 Testversion am laufen und die meldete mir sogleich einen Trojaner in C:\autorun.inf
Zum Vergrößern anklicken....

Garnicht gut. Vieleicht doch lieber Neuinstallation? Du kannst dir sonst nie ganz sich sein alles entfernt zu haben. Der Zeitaufwand für eine Neuinstallation ist vermutlich sogar geringer. Bitte nicht schlagen :d

@little_skunk: Ja, tut mir leid, aber mit "nimm deinen" Rechner vom Netz kann ich in so einer Situation nicht viel anfangen.
Zum Vergrößern anklicken....

Kann ich verstehen. Wenn das aber alle so machen würden, dann wäre das Risiko einen Vireninfektion erheblich geringer, sodass unterm Strich alle Zeit sparen.

Was versprichst du dir denn davon, Avira von einer linx-CD statt von Windows aus zu starten?
Zum Vergrößern anklicken....

Das hat 3 Vorteile.
1. Ist die Live CD sauber. Du kannst dir Zeit lassen ohne andere PCs zu infizieren.
2. Ist damit der Virenscanner ebenfalls nicht infiziert. Ein "guter" Virus deaktivert als 1. den Virenscanner.
3. Hast du vollen Zugriff auf alle Datein, die Windows sonst blocken würde.

Wahrscheinlich friert mein PC schon deshalb ein, weil ich schon Dateien gelöscht habe, die ich nicht hätte löschen sollen.
Zum Vergrößern anklicken....

Das Risiko besteht leider immer. Hoffentlich kann der Virenscanner den Befall reparieren. Zur Not kannst du hinterher aber immernoch mit der Windows installation CD Windows reparieren. Das geht aber nur, wenn der PC Virenfrei ist.
 
Ganz ehrlich:
Format c:

Durch das löschen von 2 Dateien wird es nicht besser bei Dir. Denn Du hast gar keine Ahnung (und wir auch nicht) was der Schädling schon alles in irgendwelchen Systemdateien (Registry, andere .inf Dateien als die Autorun ... etc) geändert hat. DAS kannst Du einfach nicht mehr Rückgängig machen. Der Rechner ist kompromitiert und nicht mehr sicher. Das wird er auch durch Dein gefrickel oder das Arbeiten eines Virenscanners nicht mehr.

Ich weiß .. is blöd. Dauert etwa 12 Minuten sein Windows wieder neu aufzusetzen, aber hey ... dafür ist danach das System wieder so sicher dass man ihm auch Passwörter anvertrauen kann. Da auch schon eine Autorun.inf infiziert ist hat wohl Dein Scanner im entscheidenden Augenblick versagt. Sonst wäre es ja nicht möglich gewesen dass der Schädling andere Dateien befällt.

Mir persönlich ist es egal ob die ganze Welt Deine PWs erfährt. Ich bin da immer nur auf die Zeit fixiert.
Rechner neu einrichten: 30 Minuten (kürzer als hier ne Frage zu tippen).
Das rumgeeier am Schädling ist ein Grund warum es so viele aktive gibt. Weil die Leute nicht konsequent sind.
 
Zuletzt bearbeitet:
Dem muss ich leider 100% Zustimmen. Klingt hart ist aber die sicherste und schnellste Variante.
 
Problem ist wie gesagt, dass ich heute dringend arbeiten muss und das geht nicht, wenn Windows installiert wird. Naja, kann ich ja von Windows 7 aus machen. Wobei meine Installation schon darauf angelegt ist, dass das einzige, was ich auf C:\ vor dem formatieren retten sollte, meine Emails und Browserfavoriten sind, wobei ich auch das noch ändern könnte.

Ich hab grade mal die Avira live-CD probiert. Sobald ich eine Startoption, egal welche, gewählt habe und einige Daten geladen sind, werden mir nur noch links oben zwei schwarze Viecher angezeigt, die aussehen wie Maulwürfe mit aufgesetztem Pappschnabel. Sonst passiert nix, der Rechner scheint in keiner Weise zu arbeiten.
 
Zuletzt bearbeitet:
Nur fürs Protokoll: Windows 7 kann ebenfalls befallen sein. Die Folgen kennst du ja.
 
Ok, ich Trottel hab mir gestern selbst ins Bein geschossen. Da ich eure Argumente ja schlüssig fand und nur wegen des Zeitaufwands zögerte, wollte ich gestern Vormittag mal eben die WinXP-Partition formatieren. Arbeiten konnte ich ja noch gut von Win7 aus

Das wollte ich per Windows-XP Setup machen und dann eben nach der Formatierung abbrechen. Nur leider hatte ich zwei Sachen vergessen:

1. Nach der Formatierung geht XP-Setup sofort zur Installation

2. Wenn man bei bei installiertem Win7 auf einer anderen Partition WinXP installiert, geht offensichtlich der Win7 Bootmanager verloren und man kann die Win7-Installation nicht mehr booten.

Jetzt sitze ich hier mit frisch installiertem WinXP und darf alles neu installieren, was ich so benutze, hab aber gleich schon unlösbare Fehler bei der Installation der des Audigy Support-Packs.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh