Hallo bzw. guten Morgen!

Seit zwei Wochen ist mein (zugegebenermaßen alter) Laptop plötzlich extrem langsam geworden. Da ich aber ausgerechnet in dieser Zeit kaum zu Hause war, wurde in dieser Zeit auch keine Systemprüfung vorgenommen, was ich am Mittwoch nachgeholt habe.

Während der stundenlangen Überprüfung kam die Meldung von Avira, dass ein Schädling gefunden worden sei, aber der Zugriff von diesem blockiert werde:

"Guard: Malware gefunden
Typ: Fund
In der Datei 'C:\Programme\Java\jre6\bin\javaws.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.EPACK.Gen2' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern"

Keine Möglichkeit ihn in Quarantäne zu stecken. Ihn einfach zu löschen, habe ich mich bisher nicht getraut. Komischerweise taucht er nun nicht mehr im Report unten auf.


-------------------------------

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 2. Januar 2013 11:27

Es wird nach 4643951 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ****

Versionsinformationen:
BUILD.DAT : 10.2.0.719 36070 Bytes 25.10.2012 10:38:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 05.09.2011 20:45:02
AVSCAN.DLL : 10.0.5.0 57192 Bytes 05.09.2011 20:45:02
LUKE.DLL : 10.3.0.5 45416 Bytes 05.09.2011 20:45:03
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 12:22:40
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 05.09.2011 20:45:03
AVREG.DLL : 10.3.0.9 88833 Bytes 05.09.2011 20:45:03
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 10:49:21
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 05:52:59
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 12:59:11
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 11:37:58
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 21:15:08
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 20:21:29
VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 09:56:32
VBASE007.VDF : 7.11.50.230 3904512 Bytes 22.11.2012 10:28:41
VBASE008.VDF : 7.11.50.231 2048 Bytes 22.11.2012 10:28:41
VBASE009.VDF : 7.11.50.232 2048 Bytes 22.11.2012 10:28:41
VBASE010.VDF : 7.11.50.233 2048 Bytes 22.11.2012 10:28:41
VBASE011.VDF : 7.11.50.234 2048 Bytes 22.11.2012 10:28:41
VBASE012.VDF : 7.11.50.235 2048 Bytes 22.11.2012 10:28:42
VBASE013.VDF : 7.11.50.236 2048 Bytes 22.11.2012 10:28:42
VBASE014.VDF : 7.11.51.27 133632 Bytes 23.11.2012 10:28:42
VBASE015.VDF : 7.11.51.95 140288 Bytes 26.11.2012 13:24:12
VBASE016.VDF : 7.11.51.221 164352 Bytes 29.11.2012 13:24:12
VBASE017.VDF : 7.11.52.29 158208 Bytes 01.12.2012 13:24:13
VBASE018.VDF : 7.11.52.91 116736 Bytes 03.12.2012 13:40:38
VBASE019.VDF : 7.11.52.151 137728 Bytes 05.12.2012 13:40:42
VBASE020.VDF : 7.11.52.225 157696 Bytes 06.12.2012 14:27:25
VBASE021.VDF : 7.11.53.35 126976 Bytes 08.12.2012 14:27:26
VBASE022.VDF : 7.11.53.55 225792 Bytes 09.12.2012 17:31:32
VBASE023.VDF : 7.11.53.93 157184 Bytes 10.12.2012 17:18:34
VBASE024.VDF : 7.11.53.169 153088 Bytes 12.12.2012 17:18:35
VBASE025.VDF : 7.11.53.237 152064 Bytes 14.12.2012 10:54:14
VBASE026.VDF : 7.11.54.23 149504 Bytes 17.12.2012 16:18:40
VBASE027.VDF : 7.11.54.67 130048 Bytes 18.12.2012 16:18:41
VBASE028.VDF : 7.11.54.153 292352 Bytes 21.12.2012 12:24:05
VBASE029.VDF : 7.11.55.1 300032 Bytes 28.12.2012 14:31:23
VBASE030.VDF : 7.11.55.2 2048 Bytes 28.12.2012 14:31:23
VBASE031.VDF : 7.11.55.76 203264 Bytes 02.01.2013 10:16:39
Engineversion : 8.2.10.224
AEVDF.DLL : 8.1.2.10 102772 Bytes 12.07.2012 10:47:57
AESCRIPT.DLL : 8.1.4.78 467323 Bytes 20.12.2012 16:18:53
AESCN.DLL : 8.1.10.0 131445 Bytes 13.12.2012 17:18:40
AESBX.DLL : 8.2.5.12 606578 Bytes 18.06.2012 09:45:14
AERDL.DLL : 8.2.0.74 643445 Bytes 09.11.2012 16:04:00
AEPACK.DLL : 8.3.1.2 819574 Bytes 20.12.2012 16:18:53
AEOFFICE.DLL : 8.1.2.50 201084 Bytes 06.11.2012 14:08:59
AEHEUR.DLL : 8.1.4.168 5628280 Bytes 20.12.2012 16:18:51
AEHELP.DLL : 8.1.25.2 258423 Bytes 17.10.2012 08:09:51
AEGEN.DLL : 8.1.6.12 434549 Bytes 13.12.2012 17:18:38
AEEXP.DLL : 8.3.0.4 184692 Bytes 20.12.2012 16:18:54
AEEMU.DLL : 8.1.3.2 393587 Bytes 12.07.2012 10:47:53
AECORE.DLL : 8.1.30.0 201079 Bytes 13.12.2012 17:18:37
AEBB.DLL : 8.1.1.4 53619 Bytes 06.11.2012 14:08:55
AVWINLL.DLL : 10.0.0.0 19304 Bytes 21.04.2011 05:52:39
AVPREF.DLL : 10.0.3.2 44904 Bytes 05.09.2011 20:45:02
AVREP.DLL : 10.0.0.10 174120 Bytes 05.09.2011 20:45:03
AVARKT.DLL : 10.0.26.1 255336 Bytes 05.09.2011 20:45:02
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 05.09.2011 20:45:02
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:59:50
AVSMTP.DLL : 10.0.0.17 63848 Bytes 21.04.2011 05:52:38
NETNT.DLL : 10.0.0.0 11624 Bytes 21.04.2011 05:52:50
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 05.09.2011 20:44:57
RCTEXT.DLL : 10.0.64.0 98664 Bytes 05.09.2011 20:44:57

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, J:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Mittwoch, 2. Januar 2013 11:27

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'logon.scr' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccc.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexingService.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTLite.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.EXE' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'BrMfcmon.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'BrMfcWnd.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'SSScsiSV.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'pptd40nt.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'Monitor.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'SsAAD.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'maxmenumgr.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'EDSAgent.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'Pen_Tablet.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'Pen_TouchUser.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'Pen_TabletUser.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'Pen_Tablet.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'Pen_TouchService.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '157' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '11' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'J:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '551' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Windows>
Beginne mit der Suche in 'D:\' <Daten>
Beginne mit der Suche in 'J:\' <OneTouch 4>


Ende des Suchlaufs: Mittwoch, 2. Januar 2013 17:03
Benötigte Zeit: 5:36:54 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

17735 Verzeichnisse wurden überprüft
694107 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
694107 Dateien ohne Befall
6246 Archive wurden durchsucht
0 Warnungen
0 Hinweise
498582 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

-------------------------------

Nachdem ich Malwarebytes eine vollständige Systemrprüfung habe durchführen lassen, sieht man auch nichts mehr von ihm, aber dafür drei andere Schädlinge:

-------------------------------

Malwarebytes Anti-Malware (Test) 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.01.02.06

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 7.0.5730.11
****:: ****[Administrator]

Schutz: Aktiviert

02.01.2013 18:57:26
MBAM-log-2013-01-03 (00-59-26).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|J:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 392180
Laufzeit: 5 Stunde(n), 24 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Daten: 1 -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Dokumente und Einstellungen\****\Anwendungsdaten\Thinstall\{1398ACBD-7882-4B06-A89D-AF845D569401}\40000069300002i\SolSuite.exe (Trojan.IRCBot) -> Keine Aktion durchgeführt.
J:\Programme\Medienbearbeitung\Adobe CS3\Photoshop_CS3_Keygen\keygen.exe (RiskWare.Tool.HCK) -> Keine Aktion durchgeführt.

(Ende)

-------------------------------

Soll ich diese Dateien nun einfach löschen und ich bin das Problem los? Ich kann es mir nicht so einfach vorstellen. Ich habe mir bereits einige Einträge zu bspw. TR/Crypt.EPACK.Gen2 durchgelesen, aber nichts passendes zu meinem Fall gefunden. Ich habe keine Kaspersky oder andere ähnliche Programme, nur die zwei genannten.

Noch etwas: Bei den letzten beiden Dateien (SolSuite und CS3) hatte ich schon vor ein paar Jahren eine Meldung wegen einer Infektion, aber die damaligen Schädlinge wurden eigentlich in Quarantäne verschoben.

Ich hoffe, ich habe alle nötigen und eindeutige Angaben gemacht.
Ich danke schon mal für die Mühen und die Hilfe!

Beste Grüße,

MeikeV

Zitat:

J:\Programme\Medienbearbeitung\Adobe CS3\Photoshop_CS3_Keygen\keygen.exe (RiskWare.Tool.HCK)

Wer geklaute Software einsetzt, braucht sich über Malware nicht zu wundern. Außerdem wurden die Dateien bestimmt nicht in Quarantäne verschoben...auch nicht eigentlich.




Alleine der Besuch auf Seiten, welche diese Dateien zum Download anbieten, beinhaltet ein hohes Risiko sich zu infizieren.

Wenn Du den Crack startest, startest du eine ausführbare Datei aus einer sehr dubiosen Quelle. Im Quellcode der Datei kann alles mögliche stehen. ( z.B downloaden und ausführen von Malwaredateien )
Dies ist einer der Hauptursachen für Infektionen.

Ausserdem sind Cracks, Keygens, usw. illegal und das ist genauso Diebstahl wie in einem Laden.
Darum haben wir uns darauf geeinigt:

Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden.

Deshalb beschränkt sich unsere Hilfe für dich auf eine Anleitung zur Neuinstallation und Absicherung des Systems

Hallo Psychotic,

Danke für die schnelle Antwort.

Sorry, wenn ich mich blöd anstelle.
Die Programme waren schon drauf, als ich den Laptop bekam. Mir war nicht bewusst, dass es keine Originale sind, ich hab mir ehrlich gesagt darüber keine Gedanken gemacht - wie kann ich als "normaler" Nutzer das denn erkennen?

Ich verstehe, wenn das nicht unterstützt wird und möchte selber dann auch nicht mehr darauf zugreifen. Ich hätte hier nicht gepostet, wenn ich das von vornherein gewusst hätte.

Kannst du mir nur noch sagen, ob das jetzt bei allen insgesamt ja vier Meldungen der Fall ist? Reicht es, wenn ich sie deinstalliere oder lösche? Was tun, wenn man solche Dateien auf dem Laptop hat? Mir ist klar, wie naiv ich jetzt dastehe, aber der Laptop kam von einer vertrauenswürdigen Person... wie auch immer...

Ich wäre über eine letzte weitere Hilfe wirklich dankbar!

MeikeV