Hm, Combofix will nicht, der Ordner lässt sich auch nicht löschen. Ist aber wohl ziemlich unwichtig?

Der Thread ist hiermit ansonsten abgeschlossen, denke ich.
Ich danke dir herzlich für deine Hinweise und vor allem die ganze Hilfe!

Notfall müsste man diesen Ordner mit dem Unlocker oder über eine Live-CD wie Ubuntu löschen

Hallo cosinus,

gestern schlug Antivir Alarm und meldete 'TR/Crypt.XPACK.Gen'. Ich bin da skeptisch, da ich in den letzten Tagen die Sicherheit massiv erhöht und definitiv keine zweifelhaften Seiten angesurft habe. Ich denke also, dass das ein Fehlalarm ist - auch weil Malwarebytes die von Antivir als befallen gemeldete Datei für sauber hält (bevor ich die Datei in Quarantäne verschieben liess, habe ich den beinhaltenden Ordner gescannt). Hier das Log von Antivir:

Zitat:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 2. Juli 2011 01:46

Es wird nach 2868721 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : VISTA32

Versionsinformationen:
BUILD.DAT : 9.0.0.429 21701 Bytes 06.10.2010 09:59:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:28
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 16:39:40
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 16:59:56
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 13:13:22
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 19:12:50
VBASE005.VDF : 7.11.8.179 2048 Bytes 31.05.2011 19:14:06
VBASE006.VDF : 7.11.8.180 2048 Bytes 31.05.2011 19:14:06
VBASE007.VDF : 7.11.8.181 2048 Bytes 31.05.2011 19:14:06
VBASE008.VDF : 7.11.8.182 2048 Bytes 31.05.2011 19:14:06
VBASE009.VDF : 7.11.8.183 2048 Bytes 31.05.2011 19:14:07
VBASE010.VDF : 7.11.8.184 2048 Bytes 31.05.2011 19:14:09
VBASE011.VDF : 7.11.8.185 2048 Bytes 31.05.2011 19:14:13
VBASE012.VDF : 7.11.8.186 2048 Bytes 31.05.2011 19:14:14
VBASE013.VDF : 7.11.8.222 121856 Bytes 02.06.2011 20:24:49
VBASE014.VDF : 7.11.9.7 134656 Bytes 04.06.2011 22:11:58
VBASE015.VDF : 7.11.9.42 136192 Bytes 06.06.2011 05:10:59
VBASE016.VDF : 7.11.9.72 117248 Bytes 07.06.2011 05:12:00
VBASE017.VDF : 7.11.9.107 130560 Bytes 09.06.2011 05:11:57
VBASE018.VDF : 7.11.9.143 132096 Bytes 10.06.2011 16:30:05
VBASE019.VDF : 7.11.9.172 141824 Bytes 14.06.2011 20:57:38
VBASE020.VDF : 7.11.9.214 144896 Bytes 15.06.2011 17:32:04
VBASE021.VDF : 7.11.9.244 196608 Bytes 16.06.2011 19:30:02
VBASE022.VDF : 7.11.10.28 152576 Bytes 20.06.2011 13:14:45
VBASE023.VDF : 7.11.10.53 210432 Bytes 21.06.2011 13:14:46
VBASE024.VDF : 7.11.10.88 132096 Bytes 24.06.2011 13:14:46
VBASE025.VDF : 7.11.10.112 138752 Bytes 27.06.2011 00:46:59
VBASE026.VDF : 7.11.10.148 162304 Bytes 29.06.2011 08:57:47
VBASE027.VDF : 7.11.10.158 168448 Bytes 29.06.2011 08:57:48
VBASE028.VDF : 7.11.10.188 175616 Bytes 01.07.2011 10:25:54
VBASE029.VDF : 7.11.10.189 2048 Bytes 01.07.2011 10:25:54
VBASE030.VDF : 7.11.10.190 2048 Bytes 01.07.2011 10:25:54
VBASE031.VDF : 7.11.10.191 2048 Bytes 01.07.2011 10:25:54
Engineversion : 8.2.5.34
AEVDF.DLL : 8.1.2.1 106868 Bytes 30.07.2010 13:54:49
AESCRIPT.DLL : 8.1.3.69 1614203 Bytes 01.07.2011 10:25:58
AESCN.DLL : 8.1.7.2 127349 Bytes 22.11.2010 14:12:25
AESBX.DLL : 8.2.1.34 323957 Bytes 02.06.2011 20:24:53
AERDL.DLL : 8.1.9.12 639348 Bytes 01.07.2011 10:25:57
AEPACK.DLL : 8.2.6.9 557429 Bytes 16.06.2011 17:26:16
AEOFFICE.DLL : 8.1.1.25 205178 Bytes 02.06.2011 20:24:53
AEHEUR.DLL : 8.1.2.136 3584376 Bytes 01.07.2011 10:25:57
AEHELP.DLL : 8.1.17.2 246135 Bytes 19.05.2011 19:08:14
AEGEN.DLL : 8.1.5.6 401780 Bytes 19.05.2011 19:08:10
AEEMU.DLL : 8.1.3.0 393589 Bytes 22.11.2010 14:11:55
AECORE.DLL : 8.1.21.1 196983 Bytes 24.05.2011 19:09:29
AEBB.DLL : 8.1.1.0 53618 Bytes 24.04.2010 12:38:20
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:13:59
AVREP.DLL : 10.0.0.9 174120 Bytes 05.03.2011 10:39:06
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 13.10.2009 11:19:29

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +JOKE,

Beginn des Suchlaufs: Samstag, 2. Juli 2011 01:46

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '143564' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPHC_Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HpqToaster.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'psi_tray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LightScribeControlPanel.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QLBCTRL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuschd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WmiPrvSE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TFTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WiFiMsg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWAMain.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QPService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqwmiex.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'XAudio.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TFService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sua.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'psia.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLCapSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '61' Prozesse mit '61' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '43' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Program Files\Indiana Jones And The Fate Of Atlantis\Indiana Jones and the Fate of Atlantis.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
C:\Windows\System32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <HP_RECOVERY>

Beginne mit der Desinfektion:
C:\Program Files\Indiana Jones And The Fate Of Atlantis\Indiana Jones and the Fate of Atlantis.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e72706b.qua' verschoben!


Ende des Suchlaufs: Samstag, 2. Juli 2011 03:10
Benötigte Zeit: 1:22:01 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

29732 Verzeichnisse wurden überprüft
735356 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
735353 Dateien ohne Befall
2105 Archive wurden durchsucht
2 Warnungen
2 Hinweise
143564 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Malwarebytes-Vollscan starte ich jetzt.

Viele Grüße,
christinar

edit: Was für einen erneuten Befall spricht: Seit vorgestern kann ich von diesem Laptop aus nicht mehr auf meinen Router zugreifen, wegen angeblich falscher Anmeldedaten. LAN klappt aber anstandslos. Von anderen Laptops aus geht der Zugriff auf den Router problemlos.

Zitat:

[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
C:\Windows\System32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <HP_RECOVERY>

Das ist ein Fehllalarm - der SPTD-Treiber wird zB von Daemon-Tools für virtuelle optische Laufwerke benötigt.

Zitat:

Beginne mit der Desinfektion:
C:\Program Files\Indiana Jones And The Fate Of Atlantis\Indiana Jones and the Fate of Atlantis.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e72706b.qua' verschoben!

Sieht auch eher nach einem Fehalarm aus. Aus welche Quelle stammt dieses Spiel? Original?

Überleg dir gut, ob du in Zukunft weiterhin bei AntiVir bleiben willst. Die haben eine sehr fragwürdige Entscheidung getroffen, was nicht gerade seriös wirkt => http://www.trojaner-board.de/100374-...e-und-ask.html

Das Spiel liegt aus nostalgischen Gründen sogar noch auf Diskette hier rum und ist auf diesem Laptop seit 4, 5 Jahren installiert und zumindest von mir trotzdem nie gespielt worden.

AntiVir den Rücken kehren würde ich auch, nur wüsste ich jetzt nicht, womit ich's ersetzen sollte. Avast vielleicht?

Danke für deine Antwort und einen schönen Sonntag!

edit: Wie ich im verlinkten Thread sehe, rätst du zu MSE.
Gucke ich mir gleich mal an.

Nimm Avast oder MSE.

Dann wären wir durch!

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Ich folge deiner Empfehlung, denn deine Anleitung hat mir bereits enorm geholfen. Da wird dein Tipp nicht verkehrt sein.

Das Router-Problem macht mir jetzt nur noch Sorgen...

Updates sind bereits drauf, Secunia läuft auch und meldet 100%, jetzt wende ich gleich den Unlocker an, um ComboFix auszutreiben und sage vielen Dank!

Und das Router-Problem ist jetzt auch gelöst: "Websites mitteilen, dass ich nicht verfolgt werden möchte" im Datenschutzbereich von Firefox 5 verträgt sich nicht mit der EasyBox 602. Damit ist alles in Ordnung und ich verabschiede mich nach der erfolgreichen Operation!