Hallo zusammen,

Antivir meldete heute den Fund 'TR/Crypt.ULPM.Gen' [trojan].

Ich wäre sehr dankbar, wenn Ihr mir bei der Entfernung helfen könntet, ich habe mein System (Win8) gerade erst neu aufgesetzt.
Die von Euch empfohlenen Schritte haben folgende Ergebnisse gebracht:

antivir_Ereignisse.txt

Code: Alles auswählenAufklappen

ATTFilter

Exportierte Ereignisse:

16.10.2013 12:56 [Echtzeit-Scanner] Malware gefunden
      In der Datei 'C:\9_Portable Programme\Mp3DirectCut\mp3DirectCut.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ULPM.Gen' [trojan] 
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern
         

defogger_disable.log

Code: Alles auswählenAufklappen

ATTFilter

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 13:25 on 16/10/2013 (Samu)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-
         

frst.txt - zu lang, daher gezippt und angehängt


additions.txt

Code: Alles auswählenAufklappen

ATTFilter

Additional scan result of Farbar Recovery Scan Tool (x64) Version: 02-10-2013
Ran by Samu at 2013-10-16 13:28:51
Running from C:\Users\Samu\Desktop
Boot Mode: Normal
==========================================================


==================== Security Center ========================

AV: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AV: Avira Desktop (Enabled - Up to date) {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
AS: Avira Desktop (Enabled - Up to date) {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installed Programs ======================

64 Bit HP CIO Components Installer (Version: 7.2.8)
Adobe Flash Player 11 Plugin (x32 Version: 11.9.900.117)
Avira Free Antivirus (x32 Version: 13.0.0.4052)
BufferChm (x32 Version: 140.0.298.000)
Copy (x32 Version: 140.0.298.000)
Destinations (x32 Version: 140.0.253.000)
DeviceDiscovery (x32 Version: 140.0.298.000)
DJ_AIO_03_F4200_Software_Min (x32 Version: 140.0.425.000)
Dropbox (HKCU Version: 2.4.2)
ETDWare X64 11.7.10.4_WHQL (Version: 11.7.10.4)
F4200 (x32 Version: 140.0.425.000)
Google Chrome (x32 Version: 30.0.1599.69)
Google Update Helper (x32 Version: 1.3.21.165)
HP Deskjet F4200 All-In-One Driver Software 14.0 Rel. 6 (Version: 14.0)
HP Imaging Device Functions 14.0 (Version: 14.0)
HPPhotoGadget (x32 Version: 140.0.524.000)
Intel PROSet Wireless
Intel(R) Processor Graphics (x32 Version: 9.17.10.2932)
Intel(R) PROSet/Wireless for Bluetooth(R) + High Speed (Version: 15.5.4.0423)
Intel(R) PROSet/Wireless Software for Bluetooth(R) Technology (Version: 2.6.1209.0268)
Intel(R) Rapid Storage Technology (x32 Version: 11.5.2.1001)
Intel® PROSet/Wireless WiFi Software (Version: 15.05.6000.1620)
IntelliMemory (Version: 1.0.30.0)
IrfanView (remove only) (x32 Version: 4.36)
Java 7 Update 40 (x32 Version: 7.0.400)
Java Auto Updater (x32 Version: 2.1.9.8)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (x32 Version: 10.0.40219)
Mozilla Firefox 24.0 (x86 de) (x32 Version: 24.0)
Mozilla Maintenance Service (x32 Version: 24.0)
Mp3tag v2.58 (x32 Version: v2.58)
Notepad++ (x32 Version: 6.5)
PDF-Viewer (Version: 2.5.212.0)
Realtek Ethernet Controller Driver (x32 Version: 8.2.612.2012)
Realtek High Definition Audio Driver (x32 Version: 6.0.1.7055)
Recovery (x32 Version: 6.0.10.0)
S Agent (Version: 1.1.41)
Scan (x32 Version: 140.0.253.000)
Settings (x32 Version: 2.0.1)
SPSS 15.0 for Windows Evaluation Version (x32 Version: 15.0.0)
SRS Premium Sound (x32 Version: 1.00.4700)
Status (x32 Version: 140.0.342.000)
SW Update (x32 Version: 2.1.17)
Toolbox (x32 Version: 140.0.596.000)
TrayApp (x32 Version: 140.0.297.000)
User Guide (x32 Version: 1.3.00)
VLC media player 2.1.0 (x32 Version: 2.1.0)
WebReg (x32 Version: 140.0.297.017)
Windows Media Player Firefox Plugin (x32 Version: 1.0.0.8)

==================== Restore Points  =========================

09-10-2013 15:20:59 Installiert Recovery
10-10-2013 15:25:08 Sprachpaketdeinstallation
13-10-2013 16:31:13 Intel® PROSet/Wireless Software
13-10-2013 18:46:30 vor inst firefox
13-10-2013 20:05:32 vor inst flash player
13-10-2013 22:09:22 vor inst chrome
14-10-2013 16:23:56 vor ins notepad++
14-10-2013 18:28:00 vor inst freefilesync
14-10-2013 18:53:41 vor inst spss15
15-10-2013 14:26:27 vor Anschluss Drucker deskjet

==================== Hosts content: ==========================

2012-07-26 07:26 - 2012-07-26 07:26 - 00000824 ____A C:\windows\system32\Drivers\etc\hosts

==================== Scheduled Tasks (whitelisted) =============

Task: {544BAF6C-D624-49A2-AE23-6C483C6B85B3} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2013-10-14] (Google Inc.)
Task: {5A83DF9A-79A5-4968-A2B2-D4044E020A12} - System32\Tasks\advRecovery => C:\Program Files\Samsung\Recovery\WCScheduler.exe [2013-08-23] (SEC)
Task: {5E61910B-8EBE-4C29-BCA8-ED6B7BFE1580} - System32\Tasks\Microsoft\Windows\MUI\Lpksetup => C:\windows\System32\lpksetup.exe [2012-09-20] (Microsoft Corporation)
Task: {6426F84E-C22C-4D6F-9072-C33E3672F75C} - System32\Tasks\Microsoft\Windows\Setup\Pre-staged GDR Notification => C:\Windows\system32\NotificationUI.exe [2013-08-16] (Microsoft Corporation)
Task: {C35515CF-D31A-4AFE-B44E-5F212CE3F8F0} - System32\Tasks\SAgent => C:\Program Files\Samsung\S Agent\CommonAgent.exe [2013-05-08] (Samsung Electronics CO., LTD.)
Task: {D7C9E8B3-2892-426C-A562-EE3AE8C158CB} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2013-10-14] (Google Inc.)
Task: {FBC01515-F130-409C-BD48-DF0F244790E5} - System32\Tasks\Settings => C:\Program Files (x86)\Samsung\Settings\sSettings.exe [2013-01-03] (Samsung Electronics CO., LTD.)
Task: C:\windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe

==================== Loaded Modules (whitelisted) =============

2012-12-14 02:42 - 2012-12-14 02:42 - 00094208 _____ () C:\Windows\System32\IccLibDll_x64.dll
2013-05-08 18:47 - 2013-05-08 18:47 - 00088624 _____ () C:\Program Files\Samsung\S Agent\ToastX64.dll
2013-10-10 08:08 - 2013-10-10 08:06 - 00394824 _____ () C:\Program Files (x86)\Avira\AntiVir Desktop\sqlite3.dll
2013-01-03 23:08 - 2013-01-03 23:08 - 00029384 _____ () C:\Program Files (x86)\Samsung\Settings\CmdServer\EasySettingsCmdWrapper.dll
2013-01-03 23:09 - 2013-01-03 23:09 - 01080520 _____ () C:\Program Files (x86)\Samsung\Settings\CmdServer\EasySettingsCmd.dll
2013-01-03 23:08 - 2013-01-03 23:08 - 00111304 _____ () C:\Program Files (x86)\Samsung\Settings\CmdServer\EasySettingsBase.dll
2013-01-03 23:08 - 2013-01-03 23:08 - 00056440 _____ () C:\Program Files (x86)\Samsung\Settings\CmdServer\HookDllPS2.dll
2013-01-03 23:08 - 2013-01-03 23:08 - 00211064 _____ () C:\Program Files (x86)\Samsung\Settings\CmdServer\WinCRT.dll
2013-01-03 23:08 - 2013-01-03 23:08 - 00027336 _____ () C:\Program Files (x86)\Samsung\Settings\EasySettingsAPI.dll
2013-01-03 23:09 - 2013-01-03 23:09 - 00111304 _____ () C:\Program Files (x86)\Samsung\Settings\EasySettingsBase.dll
2013-01-03 23:08 - 2013-01-03 23:08 - 00061128 _____ () C:\Program Files (x86)\Samsung\Settings\EasyMovieEnhancer.dll
2013-01-03 23:08 - 2013-01-03 23:08 - 00103624 _____ () C:\Program Files (x86)\Samsung\Settings\EasySettingsCmdClient.dll
2013-10-13 21:56 - 2013-09-11 04:26 - 03279768 _____ () C:\Program Files (x86)\Mozilla Firefox\mozjs.dll
2013-10-10 08:08 - 2013-10-10 08:06 - 00394824 _____ () C:\program files (x86)\avira\antivir desktop\sqlite3.dll

==================== Safe Mode (whitelisted) ===================


==================== Faulty Device Manager Devices =============

Name: Intel(R) Centrino(R) Wireless Bluetooth(R) 4.0 + High Speed Adapter
Description: Intel(R) Centrino(R) Wireless Bluetooth(R) 4.0 + High Speed Adapter
Class Guid: {e0cbf06c-cd8b-4647-bb8a-263b43f0f974}
Manufacturer: Intel Corporation
Service: BTHUSB
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.


==================== Event log errors: =========================

Application errors:
==================
Error: (10/14/2013 09:47:08 PM) (Source: SideBySide) (User: )
Description: Fehler beim Generieren des Aktivierungskontexts für "C:\windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.9200.16579_none_8937eec6860750f5.manifest1". Fehler in Manifest- oder Richtliniendatei "C:\windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.9200.16579_none_8937eec6860750f5.manifest2" in Zeile C:\windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.9200.16579_none_8937eec6860750f5.manifest3.
Eine für die Anwendung erforderliche Komponentenversion steht in Konflikt mit einer anderen, bereits aktiven Komponentenversion.
In Konflikt stehende Komponenten:.
Komponente 1: C:\windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.9200.16579_none_8937eec6860750f5.manifest.
Komponente 2: C:\windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.9200.16579_none_418ab7ef718b27ef.manifest.

Error: (10/14/2013 08:05:30 PM) (Source: Microsoft-Windows-Immersive-Shell) (User: Sam-Sung)
Description: Die App „Microsoft.BingWeather_8wekyb3d8bbwe!App“ wurde nicht innerhalb der vorgesehenen Zeit gestartet.

Error: (10/14/2013 08:00:09 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: IntelliMem.exe, Version: 1.0.30.0, Zeitstempel: 0x50931209
Name des fehlerhaften Moduls: unknown, Version: 0.0.0.0, Zeitstempel: 0x00000000
Ausnahmecode: 0xc0000005
Fehleroffset: 0x0000000000000000
ID des fehlerhaften Prozesses: 0x380
Startzeit der fehlerhaften Anwendung: 0xIntelliMem.exe0
Pfad der fehlerhaften Anwendung: IntelliMem.exe1
Pfad des fehlerhaften Moduls: IntelliMem.exe2
Berichtskennung: IntelliMem.exe3
Vollständiger Name des fehlerhaften Pakets: IntelliMem.exe4
Anwendungs-ID, die relativ zum fehlerhaften Paket ist: IntelliMem.exe5

Error: (10/13/2013 10:12:30 PM) (Source: Perflib) (User: )
Description: BITSC:\Windows\System32\bitsperf.dll8

Error: (10/09/2013 05:20:49 PM) (Source: MsiInstaller) (User: Sam-Sung)
Description: Product: S Agent -- Unable to install because a newer version of this product is already installed.


System errors:
=============
Error: (10/15/2013 08:29:58 PM) (Source: DCOM) (User: Sam-Sung)
Description: AnwendungsspezifischLokalStart{7022A3B3-D004-4F52-AF11-E9E987FEE25F}{ADA41B3C-C6FD-4A08-8CC1-D6EFDE67BE7D}Sam-SungSamuS-1-5-21-170308860-1037276161-2106928786-1001LocalHost (unter Verwendung von LRPC)Nicht verfügbarNicht verfügbar

Error: (10/14/2013 09:03:15 PM) (Source: DCOM) (User: Sam-Sung)
Description: C:\Program Files (x86)\Common Files\InstallShield\Driver\1150\Intel 32\IDriver.exe -Embedding740{D5641912-E47A-429C-879E-CFE13EAC7A13}Nicht verfügbarNicht verfügbar

Error: (10/14/2013 08:00:10 PM) (Source: Service Control Manager) (User: )
Description: Dienst "IntelliMemory" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Error: (10/13/2013 06:27:27 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Easy Launcher" ist als interaktiver Dienst gekennzeichnet. Das System wurde jedoch so konfiguriert, dass interaktive Dienste nicht möglich sind. Der Dienst wird möglicherweise nicht richtig funktionieren.

Error: (10/10/2013 09:29:00 PM) (Source: Microsoft-Windows-LanguagePackSetup) (User: NT-AUTORITÄT)
Description: Fehler bei der CBS-Clientinitialisierung. Letzter Fehler: 0x80080005

Error: (10/10/2013 09:29:00 PM) (Source: DCOM) (User: NT-AUTORITÄT)
Description: {752073A1-23F2-4396-85F0-8FDB879ED0ED}

Error: (10/10/2013 04:52:29 PM) (Source: BTHUSB) (User: )
Description: Der lokale Adapter bietet keine Unterstützung für einen wichtigen Controllerstatus für energiearme Geräte. Die mindestens erforderliche unterstützte Statusmaske ist "0x1f7fffff", vorhanden ist jedoch "0x1f3fffff". Die Funktionalität für energiearme Geräte wird deaktiviert.

Error: (10/10/2013 04:48:52 PM) (Source: BTHUSB) (User: )
Description: Der lokale Adapter bietet keine Unterstützung für einen wichtigen Controllerstatus für energiearme Geräte. Die mindestens erforderliche unterstützte Statusmaske ist "0x1f7fffff", vorhanden ist jedoch "0x1f3fffff". Die Funktionalität für energiearme Geräte wird deaktiviert.

Error: (10/10/2013 04:39:57 PM) (Source: BTHUSB) (User: )
Description: Der lokale Adapter bietet keine Unterstützung für einen wichtigen Controllerstatus für energiearme Geräte. Die mindestens erforderliche unterstützte Statusmaske ist "0x1f7fffff", vorhanden ist jedoch "0x1f3fffff". Die Funktionalität für energiearme Geräte wird deaktiviert.

Error: (10/10/2013 04:38:29 PM) (Source: DCOM) (User: Sam-Sung)
Description: {9BA05972-F6A8-11CF-A442-00A0C90A8F39}


Microsoft Office Sessions:
=========================
Error: (10/14/2013 09:47:08 PM) (Source: SideBySide)(User: )
Description: C:\windows\WinSxS\manifests\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.9200.16579_none_8937eec6860750f5.manifestC:\windows\WinSxS\manifests\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.9200.16579_none_418ab7ef718b27ef.manifestZ:\9_SETUPS\Norton Removal Tool 2011\SoftonicDownloader_fuer_norton-removal-tool.exe

Error: (10/14/2013 08:05:30 PM) (Source: Microsoft-Windows-Immersive-Shell)(User: Sam-Sung)
Description: Microsoft.BingWeather_8wekyb3d8bbwe!App

Error: (10/14/2013 08:00:09 PM) (Source: Application Error)(User: )
Description: IntelliMem.exe1.0.30.050931209unknown0.0.0.000000000c0000005000000000000000038001cec8f8d9cca942C:\Program Files\Condusiv Technologies\IntelliMemory\IntelliMem.exeunknown76862e10-34fa-11e3-be81-50b7c373e45e

Error: (10/13/2013 10:12:30 PM) (Source: Perflib)(User: )
Description: BITSC:\Windows\System32\bitsperf.dll8

Error: (10/09/2013 05:20:49 PM) (Source: MsiInstaller)(User: Sam-Sung)
Description: Product: S Agent -- Unable to install because a newer version of this product is already installed.(NULL)(NULL)(NULL)(NULL)(NULL)


==================== Memory info =========================== 

Percentage of memory in use: 32%
Total physical RAM: 7813.49 MB
Available physical RAM: 5298.44 MB
Total Pagefile: 12421.49 MB
Available Pagefile: 9716.37 MB
Total Virtual: 8192 MB
Available Virtual: 8191.77 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:210.57 GB) (Free:164.55 GB) NTFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (Size: 238 GB) (Disk ID: AF28C9D4)

Partition: GPT Partition Type
==================== End Of Log ============================
         

gmer.txt

Fehlermeldung nach dem Start:
C:\windows\system32\config\system: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

Systemneustart im abgesicherten Modus:
dieselbe Fehlermeldung.

Da ich nicht wusste, was ich damit anfangen sollte, habe ich den Scan mit den empfohlenen Einstellungen trotzdem durchgeführt.

Ergebnis:

Code: Alles auswählenAufklappen

ATTFilter

GMER 2.1.19163 - hxxp://www.gmer.net
Rootkit scan 2013-10-16 14:02:16
Windows 6.2.9200  x64 \Device\Harddisk0\DR0 -> \Device\0000003b SAMSUNG_MZMTD256HAGM-000 rev.DXT41K0Q 238,47GB
Running: gmer_2.1.19163.exe; Driver: C:\Users\Samu\AppData\Local\Temp\kfddypow.sys


---- Threads - GMER 2.1 ----

Thread  C:\windows\system32\csrss.exe [436:460]  fffff9600094d5e8

---- Disk sectors - GMER 2.1 ----

Disk    \Device\Harddisk0\DR0                    unknown MBR code

---- EOF - GMER 2.1 ----
         

Ich hoffe, Ihr könnt mir weiterhelfen. 1000 Dank im Voraus...

Hi,

lass besagte angemeckerte Datei bitte mal bei virustotal.de scannen. Ich verwette mal nen Monatslohn da kommt 0/48 bei raus.

hi, danke für die schnelle antwort! ich hab keine ahnung, was das bedeutet, aber es kam 2/47 raus. hast du jetzt die wette verloren?

edit:
es ist überall ein grüner Haken außer bei
Bkav: HW32.CDB.28ea
TheHacker: Posible_Worm32

Die Datei ist sauber, das ist ein Fehlalarm.

Oh wow, da fällt mir ein Stein vom Herzen! Vielen Dank für deine schnelle Auskunft!
Bedeutet das, dass ich in Defogger jetzt wieder den Re-enable Button klicken kann?

Und falls du Zeit hast, wäre ich dir sehr dankbar, wenn du mir schnell erklären könntest, wie du zu der Diagnose "Fehlalarm" gekommen bist - nur über den Virustotal Scan oder auch durch die Scans, die ich gepostet habe?

Zitat:

Bedeutet das, dass ich in Defogger jetzt wieder den Re-enable Button klicken kann?

jop

Zitat:

Und falls du Zeit hast, wäre ich dir sehr dankbar, wenn du mir schnell erklären könntest, wie du zu der Diagnose "Fehlalarm" gekommen bist - nur über den Virustotal Scan oder auch durch die Scans, die ich gepostet habe?

anhand der Datei die angeblich infiziert sein soll. Wenn dem so wäre müsste ein Fileinfector vorliegen, dann wären aber viel mehr Dateien angemeckert worden.

Immer wenn Avira langweile hat wird irgend eine legitime Datei mit Crypt.***.Gen angemeckert.

okidoki. und danke nochmals!

büdde