Hey, der AV hat bei mir den Trojaner Crypt.E gefunden, der sich auch gleich mal tausendfach im System verewigt hat. Hat jemand erfahrung mit der Entwernung oder ist da Hopfen und Malz verloren?

Gruss,

10 Fold

Nach Informationen von Viruslist.com wird der von Antivir gefundene TR/Crypt.E von Sophos als W32/Rbot-ADZ erkannt.
Da es sich hier um einen Backdoor kann dir hier nur zu einem Neuaufsetzen gemäß dieser Anleitung geraten werden, um ähnliches Ungemach in zukunft zu verhindern.
Warum eine Bereinigung hier nicht zum Erfolg führen kann:

http://www.mathematik.uni-marburg.de...al.html#sec2.5

Lies dir auch mal den 2ten link in meiner Signatur durch.

Habe selbiges Problem (gehabt), mir ist beim scanen mit Antivir 493 mal der Trojaner Crypt.E angezeigt worden, konnt jedoch nicht gelöscht werden. Die Quelle die Antivir anzeigte war auf meinem Rechner gar nicht vorhanden, bzw. für mich nicht sichtbar. Mit Hilfe der Systemwiederherstellung habe ich den Rechner auf den Stand vor der Infektion gesetzt und plötzlich war der Ordner mit den 493 Dateien vorhanden. Diese habe ich dann gelöscht und anschließend nochmals Antivir drüber laufen lassen, ohne Fund.
Jetzt ist meine Frage, wiege ich mich in trügerischer Sicherheit? Schließlich habe ich auch die oben genannten Links gelesen und habe nun ein komisches Gefühl. Jedoch muß ich zu meiner Schande gestehen, daß ich die Datensicherung nicht ernst genommen habe, und somit so gut wie nichts was aufm Rechner ist als Sicherungskopie habe. Kann ich nun meine ganzen Fotos, Texte, Lieder,... auf CD brennen und nach dem formatieren wieder auf den Rechner spielen, oder gibt es die Gefahr das ich mir den Trojaner dann von der CD wieder einfangen kann.
Achja, leider kenn ich mich nicht besonders gut aus in dem ganzen Gebiet. Schonmal danke im Voraus

um dies sagen zu können solltest du doch mal ein HJT logfile posten.


gruß

Kein Problem: Hab den Rechner neugestartet bin direkt ins Internet und habe dann sofort den log erstellt:
Logfile of HijackThis v1.99.1
Scan saved at 14:24:49, on 09.12.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\CtrlVol.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Dassault Systemes\B11\intel_a\code\bin\CATSysDemon.exe
C:\WINDOWS\System32\niSvcLoc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\tonchkml32.exe
C:\Dokumente und Einstellungen\*****\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.******.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_01\bin\npjpi141_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_01\bin\npjpi141_01.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/3058e4573d4a2ff45200/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094825369546
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdateV3 - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5E114D3F-B4C5-4F88-A5E3-A8A4DBC13245}: NameServer = 217.237.148.49 217.237.148.65
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Programme\Dassault Systemes\B11\intel_a\code\bin\CATSysDemon.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NILM License manager - Macrovision Corporation - D:\LabView\Shared\License Manager\Bin\lmgrd.exe
O23 - Service: NI Service Locator (niSvcLoc) - National Instruments - C:\WINDOWS\System32\niSvcLoc.exe

kann nix auffälliges finden.
aber du solltest auf jeden fall sofort und direkt dein system updaten auf SP 2.
sonst ist es nur eine frage der zeit bis du wieder hier nach hilfe suchst..

gruß

Danke. Ich war eigentlich fest der Meinung ich hätte Service Pack 2 drauf. Naja, dann hoff ich mal das ich mit dem Schrecken davon gekommen bin. Allerdings ist meine Frage von oben noch offen ob ggf. wenn ich mir die Daten auf CD brenne und dann mein System neu aufsetze die Backdoor wieder durch die CD aufs neue System kommen könnte