Hallo,
hoffe mal ihr seid mir nichtmehr bös, bin auch ganz brav geworden.

Hat aber nicht geholfen, nun hab ich so soeinen Polizeitrojaner drauf. Das Sperrbild sieht anders aus als jenes welches man hier immer sieht (hat Rote ränder links und rechts)

Zuerst versuchte ich in den taskmanager zu kommen, der wurde immer schnell geschlossen, aber beim 4ten versuch konnte ich oben genannte 0.13268268941784256.exe beenden, woraufhin das Bild verschwand. Ich führte dann den Malwarebytes-scan durch:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.30.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Philipp :: PHILIPP-PC [Administrator]

30.06.2012 21:46:12
mbam-log-2012-06-30 (21-46-12).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 481003
Laufzeit: 1 Stunde(n), 41 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Philipp\0.13268268941784256.exe (Trojan.Agent.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Danach dachte ich alles ok, hab ausgemacht. Kurz darauf bei wieder einschalten selbes Problem, nur funktionierte der tskmr diesmal nicht. Bin dann (jetzt) im abgesichterten Modus rein, kein fenster mehr. Nochmal Malwarebytes war sauber, Anti-Vir zeigte:

Code: Alles auswählenAufklappen

ATTFilter

Die Datei 'C:\Windows\System32\incvdqhn0.tsp'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen5' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '56f75ad8.qua' verschoben!
         

Hab dann defogger und OTL gezogen. Defogger erfolgreich, kein neustart.
OTL-Quickscan bricht allerdings wegen "out of memory" ab, laut Leistungsmonitor belegt OTL zuletzt aber nur 2,4 von 8 gig RAM.

edit: Falls das wichtig ist, AV-Guard und Update funktionieren nichtmehr (Abgs. Mod.?), ebenfalls kann das WIndows-Sicherheitscenter nicht aktiviert werden.

What next?

Hallo und Herzlich Willkommen!

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:

Zitat:

• "Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
  - da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
  - also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
• Charakteristische Merkmale/Profilinformationen:
  - aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du durch [X] oder Sternchen (*) ersetzen
• Die Systemprüfung und Bereinigung:
  - kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
• Ich empfehle Dir die Anweisungen erst einmal komplett durchzulesen, bevor du es anwendest, weil wenn du etwas falsch machst, kann es wirklich gefährlich werden. Wenn du meinen Anweisungen Schritt für Schritt folgst, kann eigentlich nichts schief gehen.
• Innerhalb der Betreuungszeit:
  - ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
• Die Reihenfolge:
  - genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
• GECRACKTE SOFTWARE werden hier nicht geduldet!!!!
• Ansonsten unsere Forumsregeln:
  - Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?
• Alle Logfile mit einem vBCode Tag eingefügen, das bietet hier eine gute Übersicht, erleichtert mir die Arbeit! Falls das Logfile zu groß, teile es in mehrere Teile auf.

Sobald Du diesen Einführungstext gelesen hast, kannst Du beginnen

► Erster Teil des 3-teiligen Verfahren, werden wir dein System auf Viren untersuchen, bzw nach einem anderen Verursacher suchen:
Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen
Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen!

1.
- das OTL hast Du auf Deinem Desktop gespeichert?
ggf einen Systemscan mit OTL im abgesicherten Modus probieren:
♦ PC neu starten
♦ Drücke gleich mehrmals die F8-Taste. Am besten mehrmals und schnell nacheinander drücken.
♦ Wähle in der Liste, die nun erscheint, den abgesicherten Modus aus.

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt - OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

2.
Um festzustellen, ob veraltete oder schädliche Software unter Programme installiert sind, ich würde gerne noch all deine installierten Programme sehen:

• Download den CCleaner herunter
  
• Software-Lizenzvereinbarung lesen, falls irgendeine Toolbar angeboten wird, bitte abwählen!-> starten -> Falls nötig, auf "Deutsch" einstellen.
• starten-> klick auf `Extras` (um auf deinem System installierte Software zu anzeigen)-> dann auf `Als Textdatei speichern...`
• ein Textdatei wird automatisch erstellt, poste auch dieses Logfile (also die Liste alle installierten Programme...eine Textdatei)

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein - z.B OTL-Logfile o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
kira

Zuerstmal die Erfolgreichen Sachen:

Code: Alles auswählenAufklappen

ATTFilter

7-Zip 9.20 (x64 edition)	Igor Pavlov	23.09.2011	4,53MB	9.20.00.0
Adobe Flash Player 11 ActiveX 64-bit	Adobe Systems Incorporated	06.05.2012	6,00MB	11.2.202.235
Adobe Flash Player 11 Plugin	Adobe Systems Incorporated	01.07.2012	6,00MB	11.3.300.262
Adobe Reader X (10.1.0) - Deutsch	Adobe Systems Incorporated	28.09.2011	118MB	10.1.0
Adobe Shockwave Player 11.6	Adobe Systems, Inc.	01.07.2012		11.6.5.635
Advanced Crossfading 1.7.6.1180	SqrSoft	01.07.2012		1.7.6.1180
ATI Catalyst Install Manager	ATI Technologies, Inc.	23.09.2011	22,4MB	3.0.812.0
Audiosurf	BestGameEver	01.07.2012		
Avira AntiVir Personal - Free Antivirus	Avira GmbH	01.07.2012	90,3MB	10.2.0.707
Brother MFL-Pro Suite DCP-135C	Brother Industries, Ltd.	27.01.2012		1.0.2.0
calibre	Kovid Goyal	03.10.2011	121MB	0.8.21
CCleaner	Piriform	22.06.2012		3.20
Combined Community Codec Pack 2011-07-30	CCCP Project	07.10.2011	28,5MB	2011.07.30.0
Cool & Quiet		01.07.2012		
CyberLink PowerDVD 8	CyberLink Corp.	07.10.2011	140MB	8.0.3228
Deus Ex - Human Revolution version 1.0	Square Enix	27.09.2011		1.0
DIE SIEDLER - Aufstieg eines Königreichs	Ubisoft	16.02.2012		1.00.0000
Die Siedler 7	Ubisoft	28.02.2012		1.02.1221
Drachenwald Modmanager 0.7	Drachenwald.net	01.07.2012		0.7
Dropbox	Dropbox, Inc.	05.06.2012		1.4.7
ESET Online Scanner v3		01.07.2012		
FileZilla Client 3.5.1	FileZilla Project	01.07.2012	16,5MB	3.5.1
FoxTab PDF Converter		03.10.2011		
Google Earth	Google	04.11.2011	92,7MB	6.1.0.5001
Heroes of Might & Magic V: Hammers of Fate		01.07.2012		
Heroes of Might and Magic V		01.07.2012		
Heroes of Might and Magic V - Tribes of the East		01.07.2012		
Java(TM) 6 Update 22	Oracle	28.09.2011	97,0MB	6.0.220
Java(TM) 6 Update 29	Oracle	25.09.2011	94,9MB	6.0.290
JDownloader 0.9	AppWork GmbH	01.07.2012		0.9
Logitech Webcam Software	Logitech Inc.	03.10.2011	44,4MB	12.10.1113
Magicka	Arrowhead Game Studios AB	01.07.2012		
Malwarebytes Anti-Malware Version 1.61.0.1400	Malwarebytes Corporation	19.06.2012	18,0MB	1.61.0.1400
Medieval II Total War	SEGA	29.01.2012		1.03.000
Medieval II Total War : Kingdoms : Americas	SEGA	29.01.2012		1.03.000
Medieval II Total War : Kingdoms : Britannia	SEGA	29.01.2012		1.03.000
Medieval II Total War : Kingdoms : Crusades	SEGA	29.01.2012		1.03.000
Microsoft .NET Framework 4 Client Profile	Microsoft Corporation	27.09.2011	38,8MB	4.0.30319
Microsoft .NET Framework 4 Client Profile DEU Language Pack	Microsoft Corporation	27.09.2011	2,93MB	4.0.30319
Microsoft Games for Windows - LIVE	Microsoft Corporation	03.02.2012	8,19MB	3.0.89.0
Microsoft Games for Windows - LIVE Redistributable	Microsoft Corporation	03.02.2012	33,5MB	3.0.19.0
Microsoft Office Professional Plus 2010	Microsoft Corporation	01.07.2012		14.0.4763.1000
Microsoft Visual C++ 2005 Redistributable	Microsoft Corporation	07.10.2011	2,69MB	8.0.59193
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.4148	Microsoft Corporation	28.09.2011	788KB	9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022	Microsoft Corporation	28.02.2012	1,41MB	9.0.21022
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17	Microsoft Corporation	09.11.2011	240KB	9.0.30729
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148	Microsoft Corporation	27.09.2011	596KB	9.0.30729.4148
Microsoft XNA Framework Redistributable 3.1	Microsoft Corporation	06.11.2011	7,55MB	3.1.10527.0
Mplayer.com		01.07.2012		
NVIDIA PhysX	NVIDIA Corporation	16.05.2012	78,9MB	9.10.0513
OpenOffice.org 3.3	OpenOffice.org	28.09.2011	414MB	3.3.9567
Opera 12.00	Opera Software ASA	01.07.2012		12.00.1467
Orcs Must Die!		01.07.2012		
Portal 2	Valve	01.07.2012		
Portal 2 Publishing Tool		01.07.2012		
Prototype(TM)	Activision	29.05.2012	7,78GB	1.0
PSPP	GNU	27.09.2011		20100611
Realtek High Definition Audio Driver	Realtek Semiconductor Corp.	25.09.2011		6.0.1.6251
Risen 2 Dark Waters		16.05.2012		
Shockwave		01.07.2012		
Skype Click to Call	Skype Technologies S.A.	29.06.2012	14,0MB	6.0.10297
Skype™ 5.9	Skype Technologies S.A.	13.06.2012	19,2MB	5.9.123
Smart Data Recovery v4.3	Smart PC Solutions	01.07.2012		4.3
SqrSoft® Advanced Crossfading (remove only)		01.07.2012		
Steam	Valve Corporation	06.11.2011	35,4MB	1.0.0.0
Ubisoft Game Launcher	UBISOFT	13.03.2012		1.0.0.0
VLC media player 1.1.11	VideoLAN	01.07.2012		1.1.11
Warhammer 40,000: Dawn of War Gold Edition	Relic	01.07.2012		
Warhammer 40,000: Dawn of War – Dark Crusade	Relic	01.07.2012		
Warhammer 40,000: Dawn of War – Soulstorm	Relic	01.07.2012		
Warhammer 40,000: Dawn of War – Winter Assault	Relic	01.07.2012		
Warhammer® 40,000®: Dawn of War® II – Retribution™	Relic	01.07.2012		
Warhammer® 40,000™: Dawn of War® II	Relic	01.07.2012		
Warhammer® 40,000™: Dawn of War® II – Chaos Rising™	Relic	01.07.2012		
Winamp	Nullsoft, Inc	01.07.2012		5.621 
Winamp Erkennungs-Plug-in	Nullsoft, Inc	23.09.2011	63,0KB	1.0.0.1
Worms2		01.07.2012
         

Nun der Rest:
Interessanterweise ist OTL.exe von meinem Desktop verschwunden o.O
Habs neu gezogen, ebendort hin.
OTL gibt, auch als admin ausgeführt (im Abgesicherten modus bin ich ohnehin schon die ganze Zeit) einen out-of memory fehler.
Hab den leistungsmonitor mal genauer angeschaut: Von acht gig die eingebaut sind steht dort ~4800 im Cache, ~6400 Verfügbar und ~1700 Frei. Die 1700 braucht der OTL-suchlauf zügig auf, dann schaufelt er noch ein bisschen hin und her aber bricht schließlich ab. In dem Visualisierungskasten steht übrigens permanent 1,75GB und er geht maximal bis 3,5GB auslastung hoch, bevor er abbricht.

hast Du Verwandte oder Bekannte die dir helfen können, oder ein "Zweit-PC "?? das genannte Programm auf CD brennen:

Werden benötigt:
Zweit PC
1 CD
1 Brennprogramm

Unbootbares System mit OTLPE Network scannen

Du kannst versuchen, den Computer mit OTLPE zu booten, denn offensichtlich hast Du ja noch einen zweiten Rechner zur Verfügung. Mit diesem kannst Du die nötige Boot-CD mit OTLPE brennen, die eine Art Notfall-Boot-CD darstellt, mit der wir erstens das System booten können und zweitens die zur Analyse nötigen Scans durchführen können. Sollte das System auch mithilfe dieser CD nicht bootbar sein, kannst Du von einem technischen Problem ausgehen.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop.
  Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

• Starte das unbootbare System neu und boote von der CD, die Du gerade erstellt hast.
  Anmerkung: Wenn Du nicht weißt, wie Du Deinen Computer dazu bringst, von CD zu booten, dann folge diesen Schritten hier.
• Dein System sollte nach einigen Minuten diesen REATOGO-X-PE Desktop anzeigen.
  
  
  
  
• Mache einen Doppelklick auf das OTLPE Icon.
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" angehakt ist und drücke OK.
• OTLpe sollte nun starten.
  
  
  
  
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt gesichert und mit Notepad++ geöffnet.
• Anonymisiere Realnachnamen durch 5 Sternchen *****, am besten im Editor durch "Suchen und Ersetzen".
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  
• Füge die beiden Logfiles OTL.txt und Extras.txt als Anhang ein, indem Du unterhalb des Textfeldes auf Erweitert klickst und die Logdateien einzeln über Anhänge verwalten hochlädst.

Falls Du kein Brennprogramm hast:

ISOBurner
Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen.
Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Also OTL funktioniert auch als gebootetes system nicht. Werde mal einen Speichertest laufen lassen. Hast du ne idee warum nur 2GB in gebrauch angezeigt werden und 3GB Frei sind, Obwohl er selbst sagt es seien 8 Installiert?

Ein unbootbares System hatte ich auch die ganze Zeit nicht, wie mehrfach gesagt. Bin im abgesicherten Modus unterwegs gewesen. Da der AV-Guard nicht aktiviert oder geupdatet werden konnte habe ich jetzt Antivir neu heruntergeladen und drüberlaufen lassen. System geht wieder, auch der Windows defender schaltet sich wieder ein. Allerdings findet er immer wieder TR/Crypt.XPACK.Gen5 in: C:\Windows\SysWOW64\tnnsibnpf.dll und wird die scheinbar nicht von selbst los.

Gibt es noch was anderes als OTL, um sicherzugehen dass das system sauber ist?

Zitat:

Zitat von Zathuras

Gibt es noch was anderes als OTL, um sicherzugehen dass das system sauber ist?

ja natürlich:
Tipps & Hilfe:
-> Anleitung: Neuaufsetzen des Systems + Absicherung
-> Neuaufsetzen (Windows XP, Vista und Windows 7) - Anleitungen
PC neu aufsetzen kann nur ein paar Stunden dauern und die Festplatte 100%ig frei von Viren oder sonstiger Malware.
Die Systembereinigung dauert ein paar Tage, eine Säuberung ist sehr aufwendig, es ist nicht sicher ob es vollständig gelingt dies zu säubern und ob der Computer ansonsten einwandfrei läuft...

Zitat:

Zitat von Zathuras

Also OTL funktioniert auch als gebootetes system nicht. Werde mal einen Speichertest laufen lassen.

ich würde erstmal die Festplatte formatieren, Windows neu einrichten und schauen, ob einwandfrei läuft? Das System muss malwarefrei sein! Dann nach technische Probleme suchen falls die Probleme weiterhin bestehen sollten...

Nach ein bisschen Recherche würde ich bisher sagen die limitierung des speichers auf 3/8 des insgesamt verfügbaren für ein einziges programm durch windows ist normal. obwohl ich dass gern erweitern würde.

danke auf jeden fall für deine mühe!
neu draufziehen überlege ich mir noch, momentan wäre der schade nicht soo groß..