Hallo!

Vorgestern habe ich einen sehr zähen Trojaner auf meinem PC gefunden. Malwarebyte konnte Ihn anscheinend nicht entfernen. Daraufhin habe ich meine wichtigen Dateien gesichert und den PC durchformatiert und neu aufgesetzt. Auf der frischen Installation habe ich dann sofort probiert den Antivir zu installieren, was aber nicht ging. Es kam immer eine Meldung dass die CRC Summe verändert wurde und so die Installation nicht abgeschlossen werden konnte. Meldungen ähnlicher Art kamen auch bei anderen Antivirusprogrammen. Ich habe daraufhin mal den temporären Installationsordner und den Windows/Temp Ordner vollständig gelöscht, im abgesicherten Modus neugestartet und versucht Antivir zu installieren, was dann auch klappte. Ich lies dann sofort einen Scan laufen wo bereits einige als Trojaner identifizierte Dateien in Quarantäne verschoben wurden. Beim weiteren Neustart im normalen Modus kam dann die Meldung dass etwas an der Windows Lizenz nicht stimmen würde und so Win gestartet werden konnte. Die Online Verifizierung schlug auch fehl (btw.: Ich hab ein Original Windows!!) Beim neuerlichen Reboot war diese Meldung wieder weg, aber beim Antivir kam eine Meldung alá "avcenter.exe cannot be found has been modified or destroyed". Der Scanner funktioniert lustigerweise noch. (zumindest sieht es so aus) und dieser findet im win/temp ordner immer wieder neue Trojaner, sowie in der Usernit.exe als auch in der Logonui.exe (oder so ähnlich) Es lassen sich nun überhaupt keine Programme mehr installieren (z.B Filezilla, ...) Meine Vermutung ist dass der Virus auch in den Backup Dateien ist, und das frische System wieder infiziert hat. Ich bräuchte bitte nun dringend Hilfe was ich jetzt noch machen könnte, ich bin am Ende mit meinem Latein! Hier noch noch mein Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:21:11, on 11.02.2009
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16386)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trillian\trillian.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe

--
End of file - 4222 bytes

Mfg Draaguul

*EDIT*:
Seit ein paar Minuten kommt folgende Meldung wenn ich den Taskmanager aufrufe: Fehler - Sicherheitsoptionen

Hi,

das A&O sind exakte Informationen hier, "oder so ähnlich" ist das Gegenteil davon. Was wurde von welchem Scanner in welchen Dateien erkannt?

Dann geh mal zu VirusTotal und lass dort EXE-Dateien, mit denen es ein Problem gibt, scannen. Ich she da einen Verdacht auf einen EXE-Infektor, es ist sinnvoll zu ermitteln, was los ist. Wenn das so ist, dann hast Du vermutlich irgendeine infizierte Datei aus dem alten System in dein neues System übernommen, eventuell auch über ein USB-Laufwerk.

Gruß, Karl

Hi!

Ja da hast recht! Die Datei heißt LogonUI.exe
Antivir meldet gerade eben wieder:
LogonUI.exe ist das trojanische Pferd TR/Crypt.XPACK.Gen
Und genau jetzt in diesem Moment funktioniert auch der Antivir nicht mehr. Ich habe vor diesem Post das System nochmals neu aufgesetzt, und ich kann deinen Verdacht bestätigen dass sich dieser Virus tatsächlich in meinem Backup befindet. Denn als ich die externe Platte nicht eingeschaltet hatte, lief alles perfekt. Als ich die Platte eingeschalten habe, war meine 1. Aktion nach Viren zu scannen, war aber laut antivir "sauber". Hab dann die gesicherten Lesezeichen wieder in den Firefox importiert und dann wars auch schon wieder alles im Eimer!
Bin aber immer noch ratlos wo sich dieses Biest versteckt und was ich dagegen tun kann.

Hier das Ergebnis von Virus Total zur Datei LogonUI.exe

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.93 2009.02.11 -
AhnLab-V3 5.0.0.2 2009.02.11 -
AntiVir 7.9.0.76 2009.02.11 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2009.02.11 W32/Virut.AI
Avast 4.8.1335.0 2009.02.11 -
AVG 8.0.0.229 2009.02.11 -
BitDefender 7.2 2009.02.11 -
CAT-QuickHeal 10.00 2009.02.11 -
ClamAV 0.94.1 2009.02.11 -
Comodo 974 2009.02.11 -
DrWeb 4.44.0.09170 2009.02.11 Win32.Virut.56
eSafe 7.0.17.0 2009.02.11 Suspicious File
eTrust-Vet 31.6.6350 2009.02.11 Win32/Virut.17408.B
F-Prot 4.4.4.56 2009.02.11 W32/Patched.E.gen!Eldorado
F-Secure 8.0.14470.0 2009.02.11 Type_Win32
Fortinet 3.117.0.0 2009.02.11 -
GData 19 2009.02.11 -
Ikarus T3.1.1.45.0 2009.02.11 -
K7AntiVirus 7.10.627 2009.02.11 -
Kaspersky 7.0.0.125 2009.02.11 Type_Win32
McAfee 5523 2009.02.11 New Win32
McAfee+Artemis 5522 2009.02.10 New Win32
Microsoft 1.4306 2009.02.11 Virus:Win32/Virut.BM
NOD32 3846 2009.02.11 Win32/Virut.NBK
Norman 6.00.02 2009.02.11 -
nProtect 2009.1.8.0 2009.02.11 -
Panda 10.0.0.10 2009.02.11 Suspicious file
PCTools 4.4.2.0 2009.02.11 -
Prevx1 V2 2009.02.11 -
Rising 21.16.22.00 2009.02.11 -
SecureWeb-Gateway 6.7.6 2009.02.11 Trojan.Crypt.XPACK.Gen
Sophos 4.38.0 2009.02.11 W32/Scribble-A
Sunbelt 3.2.1851.2 2009.02.11 -
Symantec 10 2009.02.11 W32.Virut.CF
TheHacker 6.3.1.85.252 2009.02.11 -
TrendMicro 8.700.0.1004 2009.02.11 PE_VIRUX.A-4
VBA32 3.12.8.12 2009.02.11 -
ViRobot 2009.2.11.1600 2009.02.11 -
VirusBuster 4.5.11.0 2009.02.11 -
weitere Informationen
File size: 26112 bytes
MD5...: 168cc31af7b6b3953b5c5fae52c6ddb7
SHA1..: 6821b36ad264dff697d1a9a68e1f4ce571728ee7
SHA256: b2a54751f604b48386d86a42edf98a5c2d95371c66788e0e5fb59dcc35215cc1
SHA512: d4224b1d0ab64a4fed5c90db9804e7e816daf5355e3f56a9c44b91ce0be7bbec
b9223427b78bf1a2cb2a09abf4573c279942c371e14defe4fa95c07e60a5aa90
ssdeep: 768:595CeupV05rDskDgLJMwtoRcONZO5A1ZCbs:5sV0FzDmJMwK6WZOW1ZCbs
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x824f
timedatestamp.....: 0x4549aff1 (Thu Nov 02 08:44:33 2006)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xecc 0x1000 5.91 625b16bfa53479985dfc8924986ab236
.data 0x2000 0x370 0x400 0.10 e6221dc0fd8c68cda77dc9c35ac6c44f
.rsrc 0x3000 0x840 0xa00 4.05 080c9bf0e530f43c25aa1e8541a1d39d
.reloc 0x4000 0x5200 0x4400 7.95 015ba3c534e0e7eee109831ab3cea6ae

( 3 imports )
> KERNEL32.dll: SetPriorityClass, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, GetModuleHandleA, SetUnhandledExceptionFilter, GetStartupInfoW, InterlockedCompareExchange, Sleep, InterlockedExchange, UnhandledExceptionFilter
> msvcrt.dll: __p__fmode, __set_app_type, _terminate@@YAXXZ, _except_handler4_common, _controlfp, __p__commode, wcstoul, wcsncmp, __wgetmainargs, _adjust_fdiv, __setusermatherr, _amsg_exit, _initterm, _wcmdln, exit, _XcptFilter, _exit, _cexit
> ole32.dll: CoCreateInstance, CoUninitialize, CoInitializeEx

"Virut", der hängt sich an Porgramme dran, in erster Linie EXE- und SCR-Dateien. Denkbar ist aber auch, dass in Archiven infizierte Dateien stecken können. Bei externen Laufwerken die beliebte Nummer mit den autorun.inf-Dateien, wo bereits einstecken des Laufwerks reicht und es wird eine infizierte Datei gestartet. Das lässt sich vermeiden, idem beim Anschließen des Laufwerks die Shift-Taste gedrückt wird. Besser noch, den Autostart ganz zu deaktivieren.

Ansonsten empfehle ich noch mal neu anzufangen.Externe Platte mit Shift anschließen und sorgfältig nach autorun.inf-Dateien absuchen, die müssen weg.

Hi!

Danke für Antworten. Diese beiden Tipps mit Exe-Infektor und dass sich Virtut an eben diese Dateien hängt, war super. Das Problem war tatsächlich mein Backupordner der verseucht war. Sämltiche exe Dateien waren von dem Trojaner befallen. (Ich hab die Dateigrößen einiger exe-Dateien mit denen einer frisch installierten Version verglichen, und die wichen im um ein paar Kilobyte ab) Habs auch direkt getestet: Wiederherstellungspunkt erstellt, eine neue XAMPP installation mit der alten aus dem backup ordner überschrieben und zack war wieder alles kaputt. Dann System wieder hergestellt. Ich hab jetzt einfach mal alle exe Dateien aus dem Backup gelöscht und geschreddert und jetzt läuft das System ziemlich einwandfrei! Hoffe nun dass es auch so bleibt und dass das wirklich der Grund meines Problems war!

Vielen Dank, nochmal
Draaguul