Hallo Leute,

Ich habe bereits diesen Thread gelesen:
http://www.trojaner-board.de/104240-...-ulpm-gen.html

Dann habe ich das "Was muss ich vor der Eröffnung eines Themas beachten?" gelesen und eröffne nun einen Thread weil es laut Beschreibung keine Universal Lösungen gibt.

Ich habe gerade drei Seiten Text über mein Problem und jeden meiner Schritte geschrieben, diesen aber dann doch auf das wesentlichste gekürzt. Bei Bedarf kann ich daher sehr viel Infos nachliefern.

System

• Windows XP
• eine HDD: C, D, E
• DVD: F
• Externe HDD (mit 2 Partitionen): G (unverschlüsselt) und H (per TrueCrypt verschlüsselt für wöchentliches Backup mit robocopy)
• Firefox 8
• Avira Free 12 (neueste Version+Updates)
• schon lange Zeit keine Windows Updates gemacht weil ich eigentlich schon lange vorhatte auf Windows 7 umzusteigen (die Lizenz habe ich ja schon dafür, aber keine Zeit!)

Am Freitag Abend war ich im Internet auf Seiten bei der potenzielle Gefahr ausgeht (weil mir fad war... leichtsinn nach einer 60 St. Woche und vor der bevorstehenden Wochenendarbeit).

Samstag habe ich eine Avira Update und einen vollständigen Systemscan gemacht. PC anschließend abgeschalten.

Samstag Abend hatte ich merkwürdige HW-Probleme (kein boot, kein Bild, nichts): Von HDD Defekt, Netzteil, Kabel. Alles war möglich und ein CMOS-Reset + Ram rein/raus hat geholfen. Details bei Bedarf.

Ich mache vorsichtshalber ein HDD Backup. Dazu wird G zuerst automatisch verbunden, anschließend die verschlüsselte Partition H eingebunden. In diesen wenigen Sekunden/Minuten spielte der Autorun von G verrückt (Avira blockierte immer wieder) und jedes Mal kam eine Virenmeldung (2x Blockiert und 1xQuarantäne):

Die Datei 'G:\System Volume Information\_restore{2F09EE20-4477-4867-9AA4-3B7637D6DC5A}\RP70\A0015542.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.ULPM.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c78802e.qua' verschoben!

Ext-Hdd Partition G habe ich mehrfach mit Avira gescannt und später formatiert, weil ich die eh nie benutzt hatte...

Ich habe nochmals eine komplette Systemprüfung laufen gelassen... - Und installierte alle Windows Updates... Alles ohne Probleme und ohne Virusmeldung!

Es gab ein Avira Update am 17.11.2011 und hier wurde an der Engine auch etwas am TR/Crypt.ULPM.Gen verändert. DH. Entweder er wurde vorher nie erkannt oder es ist ein Fehlalarm (hxxp://forum.avira.com/wbb/index.php?page=Thread&postID=1134651&highlight=ULPM#post1134651)...

So, nun schreibe ich das hier und weiß nicht was ich tun soll... (ohne die HW-Probleme wäre mir das vielleicht gar nicht aufgefallen). Mein einziges Backup ist möglicherweise infiziert? Onlinebanking habe ich zum Glück seit einer Woche nicht mehr gemacht.


Ich frage mich nun:

• mein PC wurde 2x mit neustem Avira-Update gescannt, ohne Ergebnis! Was hat das zu bedeuten? Befindet sich auf dem PC wirklich nichts mehr zumindest nichts vom selben Typ?
  
• Nachdem Avira den Trojaner nur auf der Externen HDD gefunden hat, wie kam dieser auf die Externe Festplatte? Der Scanner würde ja auch jede Kopieraktion vom PC auf die Externe scannen... Bei neuerlichem Anschluss der Ext HDD wurde ich zumindest nicht neu infiziert!
  
• Mögliche Erklärung #1: Die bösen Websites haben mich infiziert und Avira Echtzeitscanner hat nicht angeschlagen (obwohl es das Update siehe oben schon hatte).
  
• Mögliche Erklärung #2: Ich habe mir den Trojaner auf die Ext-HDD mal bei einen anderen PC geholt. Die restlichen Ereignisse (HW-Probleme/böse Websites etc...) waren ein unglaublicher Zufall. Die Ext HDD habe ich seit dem letzten "USB-Fremdkontakt" vor einigen! Monaten, wöchentlich am PC hängen gehabt. Da gab es keine Meldungen. So lange bleiben sicherlich nicht viele Viren unendeckt? Nun ist die Virendefinition neu und plötzlich findet der etwas. Ergo, besteht die Chance dass es sich um einen Fehlalarm handelt...
  (der andere PC an dem meine HDD mal vor Monaten angeschlossen war, ist ein Win7 mit täglichen Updates und ebenfalls Avira Free)

Was meint ihr? Wie soll ich nun vorgehen?

Vielen vielen Dank im Voraus!


ps. eines ist sicher: Windows Updates laufen nun täglich und ominöse Internetseiten werde ich nicht mehr besuchen. Die heutigen 7 Stunden wegen diesem Fall werde ich mir merken (zustäzlich zu meiner Wochenendarbeit).

Anbei im Anhang die geforderten Infos "Was muss ich vor der Eröffnung eines Themas beachten?":
- Netzwerk, Firewall, Avira deaktiviert
- Defogger auf Disable
- OLT: OTL.Txt, hier gabs keine Extras.txt!
- GMER: gmer.log
- Avira, Firewall, Netzwerk aktiviert

- Der Defogger ist nachwievor disable! Also noch habe ich kein Re-Enable gemacht...

Falls etwas fehlt, sagt bescheid. Danke!

Zitat:

mein PC wurde 2x mit neustem Avira-Update gescannt, ohne Ergebnis! Was hat das zu bedeuten? Befindet sich auf dem PC wirklich nichts mehr zumindest nichts vom selben Typ?

Und wer erzählt dir, dass AntiVir einen Schädling finden muss? Virenscanner bieten keine 100% Erkennungsraten. Wenn ein Virenscanner nichts findet, kann man nicht direkt daraus ableiten da sei kein Schädling. Andersherum bedeutet eine Meldung des Virenscanners aber auch nicht automatisch ein Schädling, denn Virenscanner haben auch Fehlalarme.

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Vielen Dank!

Sorry, für die späte Antwort, war seit Montag nicht mehr zuhause...

Mit "Was hat das zu bedeuten?" meinte ich eher, dass auf der Trojaner auf der externen HDD gefunden wird, aber nicht auf dem System selbst... Daher glaube ich, dass ich mir den eingeschleppt habe...

Hardware-Probleme hatte ich seit Samstag keine mehr.

Habe am Sonntag und Montag auch einige Linux Rescure CDs durchprobiert.
- Avira Rescure Disk
- Kaspersky Rescure Disk 10
- noch nicht ausprobiert: Ultimate Boot Cd 5.1.1 mit gparted (inkl. ClamAV).

Beide Scannern liefen auf den "max. Einstellungen/Heuristik" mit allen neuen Updates. Gefunden wurde zB. bei Avira ein APPL/BiosTool.D im ISO der gerade geladenen Ultimate Boot CD (was aufgrund des Zwecks der CD logisch ist). Kaspersky hat dann noch ein paar alte gezippte Outlook Archive gefunden, wo ich den Gelöschte Nachrichten Ordner vor dem archivieren nicht geleert hatte, eh klar...

Alle Funde wurden gerade entfernt (die "Ultimate Boot Cd" habe ich erst heute gelöscht, daher auch Fund im Log siehe unten). Weitere Rescure CDs werden folgen... Auf meinem Plan stehen noch Bitdefender und f-secure...


Hier das Log von Malwarebytes' Anti-Malware

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8225

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

23.11.2011 21:03:05
mbam-log-2011-11-23 (21-02-58).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|G:\|H:\|)
Durchsuchte Objekte: 456134
Laufzeit: 2 Stunde(n), 18 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
e:\_OTHER\Treiber\WinXP\anderes\XPPID.exe (RiskWare.Tool.CK) -> No action taken.
h:\E\_OTHER\Treiber\WinXP\anderes\XPPID.exe (RiskWare.Tool.CK) -> No action taken.
         

Beide Funde wurden entfernt ("No action taken." -> hab das Log vor dem entfernen gesichert...).

und hier das Log von ESET:

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=d5c71f1aaf9a8f41956d14e4bcb9a4e2
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2011-11-24 03:33:04
# local_time=2011-11-24 04:33:04 (+0100, Westeuropäische Normalzeit)
# country="Austria"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 333800 333800 0 0
# compatibility_mode=1792 16777215 100 0 3210030 3210030 0 0
# compatibility_mode=8192 67108863 100 0 3710 3710 0 0
# scanned=197375
# found=1
# cleaned=0
# scan_time=26494
C:\Dokumente und Einstellungen\MyUser\Desktop\troj\ubcd511.iso	Win32/PSWTool.KonBoot.A application (unable to clean)	00000000000000000000000000000000	I
         

Gefunden wurde wieder die "Ultimate Boot Cd", welche ich aber bei meiner säuberungsaktion während dem Scan bereits gelöscht habe...

Danke für eure Mühe!

Zitat:

Die Datei 'G:\System Volume Information\_restore{2F09EE20-4477-4867-9AA4-3B7637D6DC5A}\RP70\A0015542.exe'

In System Volume Information sind die Dateien für Wiederherstellungspunkte gespeichert.
Was soll die SWH überhaupt aktiv sein auf einer externen Platte? Macht für mich null Sinn.

Deaktiviere die Systemwiederherstellung für die ext. Platte.

Danke,

Die Systemwiederherstellung ist nun deaktiviert.

Also vermutlich über das Wochenende werde ich noch ein paar andere Linux Rescure CDs ausprobieren.

Hast du vielleicht noch Ideen, was ich sonst noch kontrollieren könnte?

Danke im Voraus

Hallo Leute, Hallo cosinus,

Zwischenstand: Bisher liefen die folgende Scanner (die logs habe ich gepostet)

• Avira Free
• OLT
• GMER
• malwarebytes
• ESET

Nun habe ich zusätzlich folgende Linux-Scanner ohne Funde durchlaufen lassen (alle mit neusten Updates). Es wurde höchstens mal ein Unwanted-Programm gefunden aber sonst nichts...

• Avira Rescure Disc
• Kaspersky Rescue Disc 10
• ClamAV (Ultimate Boot Cd / gparted)
• Bitdefender Rescue Disc
• f-secure Rescue Disc
• AVG Rescue Disc

Die verschlüsselte externe HDD konnte ich bisher noch nicht mit diesen Rescue CDs prüfen. Geplant ist die Prüfung mit der Avira Rescue Disc und mit ClamAV (nur die können meines Wissens nach die HDD auch entschlüsseln).

Jedenfalls wurde durch das anstecken der externen HDD vor den ganzen Suchläufen die interne HDD nicht infiziert oder ähnliches (sonst hätten die Scanner ja irgendetwas gefunden)... Daher vermute ich, dass mein PC nun wirklich "sauber" ist.

Kann ich noch etwas unternehmen, oder glaubst du / glaubt ihr dass ich nun nichts mehr auf dem Rechner habe?

Danke und Liebe Grüße