Hallo,

seit einigen Tagen plagt mich die Avira Meldung, dass ich mir den Trojaner TR/Crypt.EPACK.Gen2 eingefangen habe.
Zwar stuft ihn Avira als ungefährlich ein aber er ist trotzdem ziemlich nervig.

Ich habe bereits NortonPowerEraser rüberlaufen lassen, doch er hat ihn nicht erkannt.
Auch Avira kann ihn nicht entfernen, da der Zugriff auf die Datei verweigert wurde.
Diverse Anleitungen zum selbstentfernen, wie zum Beispiel in der regedit haben mir nicht weitergeholfen.

Der Trojaner befindet sich in C:\Users\***\Appdata\Roaming\loaupdt.jpg
Löschen der Datei und anschließendes leeren des papierkorbes führt zu nix, er lädt sich selbstständig wieder runter.

Ich hoffe dass mir hier geholfen werden kann.

Grüße
KFMINER


(OTL log kommt in den Anhang.)
(Windows 7 64-bit version)

hi
dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
[2012.08.10 21:27:19 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\14001.014
[2012.08.10 21:12:03 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\UAs
[2012.08.10 21:11:15 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\xmldm
[2012.08.10 21:27:06 | 000,203,408 | ---- | M] () -- C:\Users\***\AppData\Roaming\AcroIEHelpe187.dll
[2012.08.10 20:36:32 | 000,006,400 | ---- | M] () -- C:\Users\***\AppData\Roaming\BAcroIEHelpe187.dll
[2008.12.09 17:23:13 | 000,052,688 | RHS- | C] () -- C:\Users\***\AppData\Roaming\appconf32.exe
[2012.08.11 15:25:11 | 000,052,688 | ---- | M] () -- C:\Users\***\AppData\Roaming\loaupdt.jpg

 :Files
:Commands
[Reboot]
         

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die + E Taste.

• Öffne dein Systemlaufwerk ( meistens C: )
• Suche nun
  folgenden Ordner: _OTL und öffne diesen.
• Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
• 
  Dies wird eine Movedfiles.zip Datei in _OTL erstellen
• Lade diese bitte in unseren Uploadchannel
  hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus

für eine weitere analyse benötige ich mal folgendes.
c:\Users\name\AppData\LocalLow\Sun\Java\Deployment\cache
dort rechtsklick auf den ordner cache, diesen mit winrar oder einem anderen programm packen, und im upload channel hochladen bitte
Trojaner-Board Upload Channel
wenn dies erledigt ist, bittemelden.

Vergiss was ich in dem kommentar zum upload geschrieben habe,
er kommt immernoch wieder.

zu dem textdokument, ich habe auf meinem desktop lediglich zwei .ini Dateien gefunden (desktop.ini) sind das die richtigen?

Der upload der anderen Datei hat wunderbar funkioniert.

Obwohl, jetzt ist er anscheinend verschwunden?
Dieser Trojaner verwirrt mich...

Aber auch hier nochmal ein großes Dankeschön an dich

hi
nutzt du den pc für onlinebanking, zum einkaufen, für sonstige zahlungsabwicklungen, oder ähnlich wichtiges, wie berufliches?

Nein ich bin noch Schüler (für ein Jahr Berufsfachschule)
Ich nutze mein Notebook hauptsächlich für Spiele,Schule,E-mails,facebook,etc.

ok

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Ich poste die log als Anhang.