Hallo Forum,

normalerweise reagiere ich nicht so hektisch wie der Titel
dieses threads vermuten lässt, aber diesmal bin ich echt
leicht überfordert/schockiert!

Hatte meinen PC heute einfach angelassen als ich mittags
das Haus verlassen habe, weil ich dachte, dass ich kurze
Zeit später ohnehin wieder zurück komme.. Aufgrund einiger
Unwägbarkeiten bin ich doch erst ca. 6 Stunden später
zurück gekommen und musst mit Entsetzen feststellen, dass
folgende Dinge sich quasi von "alleine" ereignet haben:

- das Fenster "Eigene Dateien" war sieben (7!) mal geöffnet
- mein Hintergrundbild war einfach nur weiss
- in der Taskleiste waren zwei Symbole (roter Kreis mit weissem
"x") die die Bullet-Message "Warning! Securty report" angezeigt
haben.
- diveser Internetseiten/tabs im noch geöffneten firefox waren mit
irgend einer anti-spyware werbesite geöffnet, gingen aber weg
nachdem ich auf Verdacht im taskmanager die Prozesse "ntdll64.exe,
userinit.exe und jqs.exe per forcequit beendet habe
- zumindest ntdll64.exe startet sich immer wieder neu

nachdem ich mich nicht wirklich gut mit computern auskenne weiss
ich nicht welcher prozess genau dafür verantwortlich ist und ich
hab auch keine ahnung wie das überhaupt passieren konnte.. wie
gesagt, mein PC war lediglich an, im internet und ausser skype, steam
und firefox war eigentlich kein Programm aktiv.

sowas ist mir noch nie passiert

Vielen Dank fürs lesen und schonmal im Vorraus für die Hilfe!!

Bin echt etwas aufgelöst jetzt..

Grüße,
mc_troja

Hallo, bearbeite dich bitte diese Liste ab unter Punkt 2 >> http://www.trojaner-board.de/69886-a...-beachten.html

Unter dem Punkt: Bitte diese Programme nacheinander ausführen:

Somit kann man dir besser behilflich sein.

UPDATE

nachdem ich meinen Rechner neu gestartet habe hat
sich dann noch mal mein antivir zu Wort gemeldet und
den Prozess C:/win/temp/ntdll64.dll als infiziert mit
dem Trojaner TR/Crypt.XPACK.Gen gemeldet und mich
gefrag ob er diesen Prozess zulassen soll.. weder mit
"Löschen", noch mit "in Quarantaine verschieben" oder
"Zugriff verweigern" habe ich wirklich etwas erreicht.
Immerhin war ich ganz normal in windows, nur ist eben
ca. alle 20 sek. eine Meldung gekommen, dass besagter
Prozess sich ausführen möchte.

Daraufhin habe ich in den abgesicherte Modus gewechselt,
bzw. wollte es. Seit diesem moment komme ich nämlich
nicht mehr in mein OS rein - weder im abgesicherten, noch
im normalen Modus. Es geht immer bis "Benutzereinstellungen
werden geladen" dann kommt "anmelden" und dann springt
es wieder auf "Benutzereinstellungen werden geladen" im
abgesicherten Modus und wenn ich normal starten möchte
kommt noch "Abmelden" hinzu, aber auch wieder alles in
Endlosschleife hintereinander.

also schnell nochmal XP auf Partition D: installiert und von
dort aus mit aktuellem antivir gescannt. Ergebnis wie folgt:

Beginning disinfection:
C:\System Volume Information\_restore{B6EC30D4-0190-4DAF-90E8-CDA88DAB14EB}\RP145\A0032721.exe
[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
[NOTE] The file was moved to '49f9f064.qua'!
C:\System Volume Information\_restore{E84605F4-593F-4904-946D-C98DE42371BE}\RP1\A0000064.dll
[DETECTION] Is the TR/Crypt.ZPACK.Gen Trojan
[NOTE] The file was moved to '48984b0d.qua'!
C:\System Volume Information\_restore{E84605F4-593F-4904-946D-C98DE42371BE}\RP6\A0000086.exe
[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
[NOTE] The file was moved to '489d22a5.qua'!
C:\System Volume Information\_restore{E84605F4-593F-4904-946D-C98DE42371BE}\RP8\A0000980.exe
[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
[NOTE] The file was moved to '489b3355.qua'!
C:\System Volume Information\_restore{E84605F4-593F-4904-946D-C98DE42371BE}\RP8\A0000981.exe
[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
[NOTE] The file was moved to '489a3a9d.qua'!
C:\System Volume Information\_restore{E84605F4-593F-4904-946D-C98DE42371BE}\RP8\A0001184.dll
[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
[NOTE] The file was moved to '489f1235.qua'!
C:\System Volume Information\_restore{E84605F4-593F-4904-946D-C98DE42371BE}\RP8\A0001185.exe
[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
[NOTE] The file was moved to '489c2aed.qua'!
C:\System Volume Information\_restore{E84605F4-593F-4904-946D-C98DE42371BE}\RP8\A0001189.exe
[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
[NOTE] The file was moved to '48ae2b85.qua'!
C:\System Volume Information\_restore{E84605F4-593F-4904-946D-C98DE42371BE}\RP8\A0001190.exe
[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
[NOTE] The file was moved to '48910185.qua'!
C:\System Volume Information\_restore{E84605F4-593F-4904-946D-C98DE42371BE}\RP8\A0001191.exe
[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
[NOTE] The file was moved to '489009cd.qua'!
C:\System Volume Information\_restore{E84605F4-593F-4904-946D-C98DE42371BE}\RP8\A0001192.exe
[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
[NOTE] The file was moved to '4892f115.qua'!
C:\xBACKUPx\_BILDER\_backup_systemchange\Eigene Dateien_16.05.07\SetupTitanAttacksDemo.exe
[NOTE] The file was moved to '4a3df099.qua'!
E:\System Volume Information\_restore{B6EC30D4-0190-4DAF-90E8-CDA88DAB14EB}\RP144\A0032498.exe
[NOTE] The file was moved to '49f9f065.qua'!

End of the scan: Mittwoch, 25. März 2009 13:19
Used time: 1:15:21 Hour(s)

The scan has been done completely.

Zusätzlich habe ich alle Dateien im C:win/system32 ordner
gelöscht die gestern erst erstellt wurden, insgesamt ca. 15
files, darunter unter anderem o.g. ntdll64.exe und auch die
ntdll64.dll im /temp ordner habe ich beseitigt.

Trotzdem komme ich nach wie vor nicht in mein XP auf der
C: Partition. d.h. ich bin im moment echt ratlos : (

Danke im Vorraus für eure Hilfe!

Wie gesagt arbeite mal die Liste für Hilfesuchenden bitte ab

Zitat:

Zitat von Angel21

Hallo, bearbeite dich bitte diese Liste ab unter Punkt 2 >> http://www.trojaner-board.de/69886-a...-beachten.html

Unter dem Punkt: Bitte diese Programme nacheinander ausführen:

Somit kann man dir besser behilflich sein.

Hallo Angel,

vielen Dank für die ersten Tips! Allerdings bin ich mir jetzt nicht
sicher - macht es überhaupt Sinn alle diese Programme von
einer anderen Partition, bzw. in einem neu aufgesetzten WinXP
auszuführen? In mein XP auf der C: Partition komme ich ja wie
unten beschrieben nicht mehr rein..

Danke,
mc_troja

_

edit: ok - ich arbeite jetzt erstmal die Liste ab. Vielen Dank schonmal für deine Hilfe!

CCleaner scheint sinnlos, da er bei mir nur das OS auf der D: Partition
scannt. Was ja soweit richtig ist, da ich in diesem OS bin, aber meine
Probleme befinden sich ja alle auf der C: Partition.

Malwarbytes hat C: komplett gescannt und nichts gefunden (was ja
sein kann, da ich bereits einige Dateien selbst entfernt habe und auch
antivir ein paar Dateien in die Quarantäne geschoben hat).

Für hijkackthis gilt gleiches wie bei CCleaner beschrieben, es scannt
natürlich nur das OS in dem ich aktuell arbeite.

_

gibt es eine Möglichkeit auf das OS auf der C: Partition zuzugreifen,
also zB. mit HijackThis zu scannen?

keiner ne Idee?