Trojanisches Pferd TR/Crypt.XPACK.Gen3

Travellaner · 31.03.2012, 07:29

Hallo liebe Leute vom Trojanerforum,
ich bin auf Weltreise und habe ein Netbook dabei welches ich dringend wieder brauche.
Könnt ihr mir bitte umgehend helfen!?
Vielen Dank im Voraus an jeden der sich daran macht mein Problem zu lösen!
Schöne Grüße aus Vietnam

Im Anhang befinden sich die geforderten Logdateien!

Ich habe mir auf dem Netbook folgendes eingefangen:
„[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen3“ .
Ich schildere mal chronologisch was passiert ist.
1 -es kam eine Fehlermeldung von Avira, der Bildschirm wurde schwarz und auf die Festplatte Laufwerk C konnte ich nicht mehr zugreifen.
2 –nur Avira konnte ich noch nutzen. Dies fand den oben angegebenen Trojaner welchen ich in Quarantäne verschoben und gelöscht habe.
Folgende Reportdatei von Avira:
Anfang:
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 16. März 2012 14:30

Es wird nach 3554963 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : FLYING_CYCLISTS

Versionsinformationen:
BUILD.DAT : 12.0.0.898 41963 Bytes 31.01.2012 13:51:00
AVSCAN.EXE : 12.1.0.20 492496 Bytes 31.01.2012 07:55:52
AVSCAN.DLL : 12.1.0.18 65744 Bytes 31.01.2012 07:56:29
LUKE.DLL : 12.1.0.19 68304 Bytes 31.01.2012 07:56:01
AVSCPLR.DLL : 12.1.0.22 100048 Bytes 31.01.2012 07:55:52
AVREG.DLL : 12.1.0.29 228048 Bytes 31.01.2012 07:55:51
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 10:49:21
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 07:56:15
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 07:56:21
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 07:12:48
VBASE004.VDF : 7.11.21.239 2048 Bytes 01.02.2012 07:12:49
VBASE005.VDF : 7.11.21.240 2048 Bytes 01.02.2012 07:12:49
VBASE006.VDF : 7.11.21.241 2048 Bytes 01.02.2012 07:12:49
VBASE007.VDF : 7.11.21.242 2048 Bytes 01.02.2012 07:12:49
VBASE008.VDF : 7.11.21.243 2048 Bytes 01.02.2012 07:12:50
VBASE009.VDF : 7.11.21.244 2048 Bytes 01.02.2012 07:12:50
VBASE010.VDF : 7.11.21.245 2048 Bytes 01.02.2012 07:12:50
VBASE011.VDF : 7.11.21.246 2048 Bytes 01.02.2012 07:12:50
VBASE012.VDF : 7.11.21.247 2048 Bytes 01.02.2012 07:12:50
VBASE013.VDF : 7.11.22.33 1486848 Bytes 03.02.2012 07:13:45
VBASE014.VDF : 7.11.22.56 687616 Bytes 03.02.2012 07:14:10
VBASE015.VDF : 7.11.22.92 178176 Bytes 06.02.2012 07:14:17
VBASE016.VDF : 7.11.22.154 144896 Bytes 08.02.2012 07:14:19
VBASE017.VDF : 7.11.22.220 183296 Bytes 13.02.2012 07:14:24
VBASE018.VDF : 7.11.23.34 202752 Bytes 15.02.2012 07:14:31
VBASE019.VDF : 7.11.23.98 126464 Bytes 17.02.2012 07:14:37
VBASE020.VDF : 7.11.23.150 148480 Bytes 20.02.2012 07:14:44
VBASE021.VDF : 7.11.23.224 172544 Bytes 23.02.2012 07:14:54
VBASE022.VDF : 7.11.24.52 219648 Bytes 28.02.2012 07:15:03
VBASE023.VDF : 7.11.24.152 165888 Bytes 05.03.2012 07:58:41
VBASE024.VDF : 7.11.24.204 177664 Bytes 07.03.2012 05:59:34
VBASE025.VDF : 7.11.25.30 245248 Bytes 12.03.2012 05:59:35
VBASE026.VDF : 7.11.25.31 2048 Bytes 12.03.2012 05:59:35
VBASE027.VDF : 7.11.25.32 2048 Bytes 12.03.2012 05:59:35
VBASE028.VDF : 7.11.25.33 2048 Bytes 12.03.2012 05:59:35
VBASE029.VDF : 7.11.25.34 2048 Bytes 12.03.2012 05:59:35
VBASE030.VDF : 7.11.25.35 2048 Bytes 12.03.2012 05:59:36
VBASE031.VDF : 7.11.25.74 123904 Bytes 14.03.2012 05:59:37
Engineversion : 8.2.10.20
AEVDF.DLL : 8.1.2.2 106868 Bytes 31.01.2012 07:55:38
AESCRIPT.DLL : 8.1.4.9 455032 Bytes 14.03.2012 05:59:49
AESCN.DLL : 8.1.8.2 131444 Bytes 29.02.2012 07:17:25
AESBX.DLL : 8.2.5.5 606579 Bytes 14.03.2012 05:59:50
AERDL.DLL : 8.1.9.15 639348 Bytes 31.01.2012 07:55:37
AEPACK.DLL : 8.2.16.5 803190 Bytes 14.03.2012 05:59:48
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 31.01.2012 07:55:36
AEHEUR.DLL : 8.1.4.4 4460916 Bytes 14.03.2012 05:59:47
AEHELP.DLL : 8.1.19.0 254327 Bytes 29.02.2012 07:15:38
AEGEN.DLL : 8.1.5.23 409973 Bytes 14.03.2012 05:59:41
AEEXP.DLL : 8.1.0.24 74101 Bytes 14.03.2012 05:59:51
AEEMU.DLL : 8.1.3.0 393589 Bytes 31.01.2012 07:55:34
AECORE.DLL : 8.1.25.5 201079 Bytes 14.03.2012 05:59:39
AEBB.DLL : 8.1.1.0 53618 Bytes 31.01.2012 07:55:33
AVWINLL.DLL : 12.1.0.17 27344 Bytes 31.01.2012 07:55:54
AVPREF.DLL : 12.1.0.17 51920 Bytes 31.01.2012 07:55:51
AVREP.DLL : 12.1.0.17 179408 Bytes 31.01.2012 07:55:51
AVARKT.DLL : 12.1.0.23 209360 Bytes 31.01.2012 07:55:46
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 31.01.2012 07:55:47
SQLITE3.DLL : 3.7.0.0 398288 Bytes 31.01.2012 07:56:07
AVSMTP.DLL : 12.1.0.17 62928 Bytes 31.01.2012 07:55:52
NETNT.DLL : 12.1.0.17 17104 Bytes 31.01.2012 07:56:02
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 31.01.2012 07:56:32
RCTEXT.DLL : 12.1.0.16 98512 Bytes 31.01.2012 07:56:32

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4f628f84\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Abweichende Gefahrenkategorien........: +PCK,+PFS,

Beginn des Suchlaufs: Freitag, 16. März 2012 14:30

Der Suchlauf nach versteckten Objekten wird begonnen.
Eine Instanz der ARK Library läuft bereits.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'YFJDscKybEK.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'YFJDscKybEK.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ONENOTEM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTMeter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WSED.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DSUpd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'STSERVICE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSvcM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDWinSec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sftservice.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NOBuAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AERTSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DockLogin.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\matze\AppData\Local\Temp\Uy8HpeSho2zDmY.exe'
C:\Users\matze\AppData\Local\Temp\Uy8HpeSho2zDmY.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen3

Beginne mit der Desinfektion:
C:\Users\matze\AppData\Local\Temp\Uy8HpeSho2zDmY.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen3
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ad9e080.qua' verschoben!

Ende des Suchlaufs: Freitag, 16. März 2012 14:33
Benötigte Zeit: 00:29 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
62 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
61 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise

Ende

3 -weiterhin war alles schwarz und ich konnte auf die Festplatte nicht zugreifen
4 –hatte den Rechner dann eine Woche aus und auch nicht am Internet
5 – Nach einer Woche Rechner wieder eingeschalten und immer noch alles Tod
6 –dann war der Akku alle und ich habe den Ersatzakku eingesetzt
auf einmal war alles wieder da.
7 –habe dann Malwarebytes durchlaufen lassen und es wurden 2 Infizierte Dateien gefunden in Quarantäne gestellt und dann von mir gelöscht
Trojan.FakeHDD
Folgende Report Datei von Malwarebytes

Anfang
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.29.03

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
matze :: FLYING_CYCLISTS [Administrator]

29.03.2012 10:22:46
mbam-log-2012-03-29 (10-22-46).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 287128
Laufzeit: 2 Stunde(n), 29 Minute(n), 43 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\ProgramData\ndRH1N1AH1rY4m.exe (Trojan.FakeHDD) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\matze\AppData\Local\Temp\OfzqWgMZFfePRQ.exe.tmp (Trojan.FakeHDD) -> Erfolgreich gelöscht und in Quarantäne gestellt.
Ende

8 -daraufhin habe ich Avira durchlaufen lassen
9 –Avira hat dann 3 Viren gefunden, in Quarantäne verschoben und ich habe sie gelöscht
10 –hier die Reportdatei von Avira

Anfang
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Donnerstag, 29. März 2012 14:06

Es wird nach 3549197 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : FLYING_CYCLISTS

Versionsinformationen:
BUILD.DAT : 12.0.0.898 41963 Bytes 31.01.2012 13:51:00
AVSCAN.EXE : 12.1.0.20 492496 Bytes 31.01.2012 07:55:52
AVSCAN.DLL : 12.1.0.18 65744 Bytes 31.01.2012 07:56:29
LUKE.DLL : 12.1.0.19 68304 Bytes 31.01.2012 07:56:01
AVSCPLR.DLL : 12.1.0.22 100048 Bytes 31.01.2012 07:55:52
AVREG.DLL : 12.1.0.29 228048 Bytes 31.01.2012 07:55:51
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 10:49:21
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 07:56:15
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 07:56:21
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 07:12:48
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 12:02:26
VBASE005.VDF : 7.11.26.45 2048 Bytes 28.03.2012 12:02:26
VBASE006.VDF : 7.11.26.46 2048 Bytes 28.03.2012 12:02:26
VBASE007.VDF : 7.11.26.47 2048 Bytes 28.03.2012 12:02:26
VBASE008.VDF : 7.11.26.48 2048 Bytes 28.03.2012 12:02:27
VBASE009.VDF : 7.11.26.49 2048 Bytes 28.03.2012 12:02:27
VBASE010.VDF : 7.11.26.50 2048 Bytes 28.03.2012 12:02:27
VBASE011.VDF : 7.11.26.51 2048 Bytes 28.03.2012 12:02:27
VBASE012.VDF : 7.11.26.52 2048 Bytes 28.03.2012 12:02:27
VBASE013.VDF : 7.11.26.53 2048 Bytes 28.03.2012 12:02:28
VBASE014.VDF : 7.11.26.54 2048 Bytes 28.03.2012 12:02:28
VBASE015.VDF : 7.11.26.55 2048 Bytes 28.03.2012 12:02:29
VBASE016.VDF : 7.11.26.56 2048 Bytes 28.03.2012 12:02:29
VBASE017.VDF : 7.11.26.57 2048 Bytes 28.03.2012 12:02:29
VBASE018.VDF : 7.11.26.58 2048 Bytes 28.03.2012 12:02:29
VBASE019.VDF : 7.11.26.59 2048 Bytes 28.03.2012 12:02:29
VBASE020.VDF : 7.11.26.60 2048 Bytes 28.03.2012 12:02:29
VBASE021.VDF : 7.11.26.61 2048 Bytes 28.03.2012 12:02:29
VBASE022.VDF : 7.11.26.62 2048 Bytes 28.03.2012 12:02:30
VBASE023.VDF : 7.11.26.63 2048 Bytes 28.03.2012 12:02:30
VBASE024.VDF : 7.11.26.64 2048 Bytes 28.03.2012 12:02:30
VBASE025.VDF : 7.11.26.65 2048 Bytes 28.03.2012 12:02:30
VBASE026.VDF : 7.11.26.66 2048 Bytes 28.03.2012 12:02:30
VBASE027.VDF : 7.11.26.67 2048 Bytes 28.03.2012 12:02:30
VBASE028.VDF : 7.11.26.68 2048 Bytes 28.03.2012 12:02:31
VBASE029.VDF : 7.11.26.69 2048 Bytes 28.03.2012 12:02:31
VBASE030.VDF : 7.11.26.70 2048 Bytes 28.03.2012 12:02:31
VBASE031.VDF : 7.11.26.88 74752 Bytes 29.03.2012 12:02:33
Engineversion : 8.2.10.28
AEVDF.DLL : 8.1.2.2 106868 Bytes 31.01.2012 07:55:38
AESCRIPT.DLL : 8.1.4.13 442746 Bytes 29.03.2012 12:03:33
AESCN.DLL : 8.1.8.2 131444 Bytes 29.02.2012 07:17:25
AESBX.DLL : 8.2.5.5 606579 Bytes 14.03.2012 05:59:50
AERDL.DLL : 8.1.9.15 639348 Bytes 31.01.2012 07:55:37
AEPACK.DLL : 8.2.16.7 803190 Bytes 29.03.2012 12:03:29
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 31.01.2012 07:55:36
AEHEUR.DLL : 8.1.4.8 4514165 Bytes 29.03.2012 12:03:22
AEHELP.DLL : 8.1.19.0 254327 Bytes 29.02.2012 07:15:38
AEGEN.DLL : 8.1.5.23 409973 Bytes 14.03.2012 05:59:41
AEEXP.DLL : 8.1.0.25 74101 Bytes 29.03.2012 12:03:33
AEEMU.DLL : 8.1.3.0 393589 Bytes 31.01.2012 07:55:34
AECORE.DLL : 8.1.25.6 201078 Bytes 29.03.2012 12:02:35
AEBB.DLL : 8.1.1.0 53618 Bytes 31.01.2012 07:55:33
AVWINLL.DLL : 12.1.0.17 27344 Bytes 31.01.2012 07:55:54
AVPREF.DLL : 12.1.0.17 51920 Bytes 31.01.2012 07:55:51
AVREP.DLL : 12.1.0.17 179408 Bytes 31.01.2012 07:55:51
AVARKT.DLL : 12.1.0.23 209360 Bytes 31.01.2012 07:55:46
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 31.01.2012 07:55:47
SQLITE3.DLL : 3.7.0.0 398288 Bytes 31.01.2012 07:56:07
AVSMTP.DLL : 12.1.0.17 62928 Bytes 31.01.2012 07:55:52
NETNT.DLL : 12.1.0.17 17104 Bytes 31.01.2012 07:56:02
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 31.01.2012 07:56:32
RCTEXT.DLL : 12.1.0.16 98512 Bytes 31.01.2012 07:56:32

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +PCK,+PFS,

Beginn des Suchlaufs: Donnerstag, 29. März 2012 14:06

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'SearchFilterHost.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'ONENOTEM.EXE' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '100' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'CapsLKNotify.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTMeter.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPHelper.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'WSED.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'DSUpd.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'STSERVICE.EXE' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '174' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSvcM.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDWinSec.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSVC.EXE' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'sftservice.EXE' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'NOBuAgent.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.EXE' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'AERTSrv.exe' - '8' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'DockLogin.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '169' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '102' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1181' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <OS>
C:\Users\matze\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\39\55192967-517dd91c
[0] Archivtyp: ZIP
--> auyppvhl/awgntdpfggshpumpfkehunmp.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2011-3544.DD.1
--> auyppvhl/fpwfjt.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Niabil.Gen
--> auyppvhl/jyutcj.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2011-3544.CO.1

Beginne mit der Desinfektion:
C:\Users\matze\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\39\55192967-517dd91c
[FUND] Enthält Erkennungsmuster des Exploits EXP/2011-3544.CO.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49a1dfd2.qua' verschoben!

Ende des Suchlaufs: Donnerstag, 29. März 2012 17:22
Benötigte Zeit: 3:13:26 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

17465 Verzeichnisse wurden überprüft
372968 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
372965 Dateien ohne Befall
2503 Archive wurden durchsucht
0 Warnungen
1 Hinweise
624241 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Ende

11 -daraufhin habe ich Spybot erst aktualisiert und dann kam beim Immunisieren folgende Fehlermeldung bei der gleichzeitig Avira meldet Hostdatei wurde Blockiert

Anfang
The immunization is not complete, there are 5 items
still unprotected. There might be various reasons for
that:

Other security software (like AVG Free or ZoneAlarm) on
your computer might not look close enough at the
immunization changes and mistake them for malware
instead of malware protection, blocking them. The
help has more information on these issues.

Ende
Soweit
Jetzt meine Fragen an euch!
Was bedeutet die Fehlermeldung von Spybot und wie kann ich die Ursache beheben?
Und wie kann ich sicher gehen, dass mein Rechner wieder frei ist von allen Viren, Trojanern und sonstigen Schädlingen? Momentan Arbeitet er noch sehr langsam, von den 1000MB Arbeitsspeicher sind permanent 700 - 800MB ausgelastet.

Der Desktophintergrund ist auch immer noch schwarz (alle Icons sind da). Beim Netbook mit Windows 7 konnte man den Desktophintergrund schon vorher nicht verändern aber das Blau war allemal besser als schwarz. Habt ihr ne Idee? Ist da noch ein Schädling?

Im Anhang befinden sich die geforderten Logdateien!

Vielen Dank im Voraus an jeden der sich daran macht mein Problem zu lösen!
Schöne Grüße aus Vietnam

Hallo, da sich noch keiner Gemeldet hat, hier eine Aktualisierung.
Die Sache mit Spyboot und der Hostdatei konnte ich mit hilfe eines Freundes lösen.
Spyboot läuft jetzt eiwandfrei!
Wichtig für mich wäre allerdings immer noch:
Wie kann ich sicher gehen, dass mein Rechner wieder frei ist von allen Viren, Trojanern und sonstigen Schädlingen?

cosinus · 02.04.2012, 12:49

Zitat:

Und wie kann ich sicher gehen, dass mein Rechner wieder frei ist von allen Viren, Trojanern und sonstigen Schädlingen?
...
Wie kann ich sicher gehen, dass mein Rechner wieder frei ist von allen Viren, Trojanern und sonstigen Schädlingen?

Wenn du schon nach "sichergehen" fragst, kann man dir nur die Antwort geben: alles plätten und Widows neu installieren

100% sichergehen durch Bereinigung funktioniert nicht, auch wenn die Logs alle sauber und das System unauffällig ist gibt es immer ein Restrisiko

Trojanisches Pferd TR/Crypt.XPACK.Gen3

Log-Analyse und Auswertung: Trojanisches Pferd TR/Crypt.XPACK.Gen3

Trojanisches Pferd TR/Crypt.XPACK.Gen3

Trojanisches Pferd TR/Crypt.XPACK.Gen3

Ähnliche Themen: Trojanisches Pferd TR/Crypt.XPACK.Gen3