Hallo!
Nach einem Befall mit TR/Crypt.XPACK.Gen2/3 den ich recht gut (denke ich) gesäubert habe, hab ich noch ein großes Problem: Die Druckerwarteschlange will nicht mehr.

In der Systemsteuerung ist die Druckerliste leer, "Hinzufügen" sagt eben dass die Warteschlange nicht aktiv ist.

In services.msc ist der Dienst da, aber nicht gestartet. Nach Start und Aktualisieren steht er wieder auf nicht gestartet.

c:\windows\system32\spool\Printers habe ich leer gemacht.

Abhängigkeiten waren nur von "Fax", das hab ich schon gelöscht.

Ansonsten zeigt sowohl das System als auch die Firewall und Antivir keinerlei Auffälligkeiten mehr.

Was soll ich schauen/posten/tun? Wie krieg ich die Warteschlange wieder zum schlängeln? :-)

Danke im Voraus für jegliche Tipps!!!
Viele Grüße
Daniel

Zitat:

Nach einem Befall mit TR/Crypt.XPACK.Gen2/3 den ich recht gut (denke ich) gesäubert habe

Recht gut, ja toll, da versteht jeder was anderes drunter.
Was wurde wie genau entfernt? Bitte alle Logs dazu posten.

Ich habe parallel mit Avira die Platte durchsucht und mit msconfig die schädlichen Programme und Dienste aus dem Start entfernt.

Avira meldete das:

Exportierte Ereignisse:

13.09.2011 13:20 [Scanner] Malware gefunden
Die Datei 'C:\System Volume
Information\_restore{74EF429A-CE4C-4AC9-B0F0-9415868618E9}\RP268\A0067570.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen3' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c119dae.qua'
verschoben!

13.09.2011 13:20 [Scanner] Suchlauf
Suchlauf beendet [Der Suchlauf wurde vollständig durchgeführt.].
Anzahl Dateien: 58
Anzahl Verzeichnisse: 0
Anzahl Malware: 1
Anzahl Warnungen: 0

13.09.2011 13:19 [Guard] Malware gefunden
In der Datei 'C:\System Volume
Information\_restore{74EF429A-CE4C-4AC9-B0F0-9415868618E9}\RP268\A0067570.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen3' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

13.09.2011 12:34 [Scanner] Suchlauf
Suchlauf beendet [Der Suchlauf wurde abgebrochen!].
Anzahl Dateien: 827045
Anzahl Verzeichnisse: 11350
Anzahl Malware: 0
Anzahl Warnungen: 0

13.09.2011 11:18 [Planer] Auftrag gestartet
Auftrag "Vollständige Systemprüfung"
wurde erfolgreich gestartet.

13.09.2011 11:15 [Guard] Dienst gestartet
Der Dienst wurde gestartet.
Dienst Version: 10.0.1.59
Engine Version: 8.2.6.60
VDF Version: 7.11.14.180

13.09.2011 11:14 [Planer] Dienst gestartet
Der Dienst wurde gestartet.
Dienst Version 10.0.0.21

13.09.2011 11:13 [Guard] Dienst gestoppt
Der Dienst wurde gestoppt.

13.09.2011 11:13 [Planer] Dienst gestoppt
Der Dienst wurde gestoppt.

13.09.2011 11:11 [Scanner] Suchlauf
Suchlauf beendet [Der Suchlauf wurde abgebrochen!].
Anzahl Dateien: 60750
Anzahl Verzeichnisse: 1320
Anzahl Malware: 0
Anzahl Warnungen: 0

13.09.2011 11:03 [Scanner] Suchlauf
Suchlauf beendet [Der Suchlauf wurde abgebrochen!].
Anzahl Dateien: 0
Anzahl Verzeichnisse: 0
Anzahl Malware: 0
Anzahl Warnungen: 0

13.09.2011 11:02 [Scanner] Suchlauf
Suchlauf beendet [Der Suchlauf wurde abgebrochen!].
Anzahl Dateien: 0
Anzahl Verzeichnisse: 0
Anzahl Malware: 0
Anzahl Warnungen: 0

13.09.2011 11:01 [Planer] Auftrag gestartet
Auftrag "Vollständige Systemprüfung"
wurde erfolgreich gestartet.

13.09.2011 11:01 [Planer] Auftrag gestartet
Auftrag "Vollständige Systemprüfung"
wurde erfolgreich gestartet.

13.09.2011 11:01 [Planer] Auftrag gestartet
Auftrag "Vollständige Systemprüfung"
wurde erfolgreich gestartet.

13.09.2011 11:00 [Guard] Dienst gestartet
Der Dienst wurde gestartet.
Dienst Version: 10.0.1.59
Engine Version: 8.2.6.60
VDF Version: 7.11.14.180

13.09.2011 10:59 [Planer] Dienst gestartet
Der Dienst wurde gestartet.
Dienst Version 10.0.0.21

13.09.2011 10:58 [Guard] Dienst gestoppt
Der Dienst wurde gestoppt.

13.09.2011 10:56 [Scanner] Suchlauf
Suchlauf beendet [Der Suchlauf wurde vollständig durchgeführt.].
Anzahl Dateien: 2572
Anzahl Verzeichnisse: 0
Anzahl Malware: 0
Anzahl Warnungen: 0

13.09.2011 10:55 [Scanner] Malware gefunden
Die Datei 'C:\RECYCLER\S-1-5-21-2939770922-1285201796-2269882619-1005\Dc194.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen3' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c71be79.qua'
verschoben!

13.09.2011 10:55 [Scanner] Suchlauf
Suchlauf beendet [Der Suchlauf wurde vollständig durchgeführt.].
Anzahl Dateien: 1140402
Anzahl Verzeichnisse: 18887
Anzahl Malware: 1
Anzahl Warnungen: 0

13.09.2011 09:17 [Scanner] Suchlauf
Suchlauf beendet [Der Suchlauf wurde abgebrochen!].
Anzahl Dateien: 0
Anzahl Verzeichnisse: 0
Anzahl Malware: 0
Anzahl Warnungen: 0

13.09.2011 08:12 [Scanner] Malware gefunden
Die Datei 'C:\Dokumente und Einstellungen\dpr\Anwendungsdaten\dwm.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen2' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c5555d4.qua'
verschoben!

13.09.2011 08:12 [Scanner] Suchlauf
Suchlauf beendet [Der Suchlauf wurde vollständig durchgeführt.].
Anzahl Dateien: 67
Anzahl Verzeichnisse: 0
Anzahl Malware: 1
Anzahl Warnungen: 0

13.09.2011 08:11 [Guard] Malware gefunden
In der Datei 'C:\Dokumente und Einstellungen\dpr\Anwendungsdaten\dwm.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen2' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

13.09.2011 08:11 [Guard] Malware gefunden
In der Datei 'C:\Dokumente und Einstellungen\dpr\Anwendungsdaten\dwm.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen2' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

13.09.2011 08:11 [Guard] Malware gefunden
In der Datei 'C:\Dokumente und Einstellungen\dpr\Anwendungsdaten\dwm.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen2' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

13.09.2011 08:11 [Guard] Malware gefunden
In der Datei 'C:\Dokumente und Einstellungen\dpr\Anwendungsdaten\dwm.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen2' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

13.09.2011 08:09 [Guard] Malware gefunden
In der Datei 'C:\Dokumente und Einstellungen\dpr\Anwendungsdaten\dwm.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen2' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

13.09.2011 08:09 [Guard] Malware gefunden
In der Datei 'C:\Dokumente und Einstellungen\dpr\Anwendungsdaten\dwm.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen2' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

13.09.2011 08:08 [Guard] Malware gefunden
In der Datei 'C:\Dokumente und Einstellungen\dpr\Anwendungsdaten\dwm.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen2' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

13.09.2011 08:08 [Guard] Malware gefunden
In der Datei 'C:\Dokumente und Einstellungen\dpr\Anwendungsdaten\dwm.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen2' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

13.09.2011 08:07 [Scanner] Suchlauf
Suchlauf beendet [Der Suchlauf wurde vollständig durchgeführt.].
Anzahl Dateien: 1295
Anzahl Verzeichnisse: 0
Anzahl Malware: 3
Anzahl Warnungen: 3

13.09.2011 08:07 [Scanner] Malware gefunden
Die Datei 'C:\Dokumente und Einstellungen\dpr\Anwendungsdaten\dwm.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen2' [trojan].
Durchgeführte Aktion(en):
Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler
aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003.
Die Datei konnte nicht gelöscht werden!
Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
Eine Instanz der ARK Library läuft bereits.

13.09.2011 08:06 [Scanner] Malware gefunden
Die Datei 'C:\Dokumente und Einstellungen\dpr\Anwendungsdaten\dwm.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen2' [trojan].
Durchgeführte Aktion(en):
Der Registrierungseintrag
<HKEY_USERS\S-1-5-21-2939770922-1285201796-2269882619-1005\SOFTWARE\Microsoft\Wi
ndows NT\CurrentVersion\Winlogon\shell> wurde erfolgreich repariert.
Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler
aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003.
Die Datei konnte nicht gelöscht werden!
Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
Eine Instanz der ARK Library läuft bereits.

13.09.2011 08:04 [Guard] Malware gefunden
In der Datei 'C:\Dokumente und Einstellungen\dpr\Anwendungsdaten\dwm.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen2' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

13.09.2011 08:04 [Guard] Malware gefunden
In der Datei 'C:\Dokumente und Einstellungen\dpr\Anwendungsdaten\dwm.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen2' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

Welche Logs wären noch hilfreich? Hijackthis hätte ich auch :-).

Danke im Voraus und viele Grüße!
Daniel

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Führe danach auch bitte ESET aus, danach sehen wir weiter.


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

n.

Danke für die Tipps!

Ich habe zwischenzeitlich ein endlos langes Meeting und eine lange Zugfahrt genutzt, um das "ganze" System per Hand zu durchsuchen. Letztlich war in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Providers eine Tempdatei aus meinem "Anwendungsdaten"-Verzeichnis als Provider eingetragen. Und die hatte offenbar der Virenscanner schon mit entsorgt. Somit startete die Warteschlange nicht auf.

Jetzt druckt es wieder. :-)
Die Online-Scans werden nachgeholt, sobald ich kein löchriges Reise-Internet mehr habe, sprich daheim bin. Sind Malwarebytes / ESET so'ne Art bewährte "Standardempfehlung"? Bin froh wenn ich mich mit solchen Themen nicht so häufig beschäftigen muss, umso mehr zählt ein Rat von Euch Profis. ;-)

Viele Grüße
Daniel