Hallo zusammen,

AntiVir hat mir gestern erstmalig den Fund des Trojaners TR/Crypt XPACK.Gen auf C:/WINDOWS/system32/_c00B264.dat gemeldet.

Ich hatte bisher keine offensichtlichen Probleme oder PC-Einschränkungen feststellen können.

Bin soweit es in meinen doch eher eingeschränkten PC-Kenntnissen liegt, euren Anweisungen gefolgt.

1) Mit AntiVir habe ich die entsprechenden "Trojaner-befallenen" Dateien in den Quarantäneordner verschoben.
(wiederholte AntiVir-Scans verliefen danach ohne Viren-Fund!)

2) Nun habe ich eigenständig etwas mit TuneUp meinen Laptop "aufgeräumt" und versucht zu optimieren (ich dachte, dass kann nie schaden)

3) CCleaner installiert und euren Anweisungen gefolgt (WIN und Registry)

4) Anti-Malware installiert und euren Anweisungen gefolgt.
Hier wurde ein Fund registriert: "Trojan.Vundo"

Hier der Log-File:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1935
Windows 5.1.2600 Service Pack 2

3.4.2009 07:00:51
mbam-log-2009-04-03 (07-00-51).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 112591
Laufzeit: 39 minute(s), 21 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\__c00b264 (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Über Anti-Malware habe ich dieses Problem behoben.
Ein erneuter Suchlauf blieb danach ohne weiteren Fund.

5) "Hijack This" installiert und ausgeführt.

Hier der Log-File:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:13:12, on 3.4.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\WINDOWS\runservice.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\sm56hlpr.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 7894 bytes
         

Jetzt weiß ich jedoch nicht, ob der Trojaner entgültig vom Laptop entfernt wurde und würde mich sehr über eure Hilfe freuen.
Da ich auch u.a. Online-Banking mache, bin ich natürlich sehr unsicher und hoffe, dass es sich um einen nicht ganz so "schlimmen" Trojaner handelt bzw. gehandelt hat.

Sollte ich was vergessen haben oder ihr noch weitere Angaben benötigen, bitte einfach eine kurze Info an mich.

Kann mir jemand helfen?
1000 Dank bereits im Voraus!!

MfG, Kalito24

Hallo Kalito und

Offensichtlich war den System kompromitiert. Wie, warum und in welchem Umfang können wir leider nicht feststellen. Grundsätzlich sind Helfer in der Lage ( oder in dem Fall du selbst ) Viren zu entfernen, jedoch bleibt eben ein fahler Nachgeschmack. Ist er nun weg oder nicht? War er aktiv, hat er etwas nachgeladen? Das alles wissen wir nicht, da es nicht nachvollziehbar ist.
Man kann Glück haben und alles erwischen, aber weiss man auch ob man alles erwischt hat?

Ich möchte dir etwas zu lesen geben.
Lies bitte die offizielle Stellungnahme hierzu von Microsoft.

Meine persönliche Meinung:

Da du beabsichtigst deinen Laptop im Onlinebanking, vieleicht bei Ebay, Amazon oder sonstigen Zahlungsverkehr mit Kreditkaten vorzunehmen, rate ich dir dringend an dein System neu aufzusetzen. Nur so hast du die Gewissheit, dass sich nichts mehr schadhaftes auf deinem PC befindet.

Du solltest jetzt, von einem sicheren und sauberen Rechner aus alle deine Passwörter ändern.

Diese Hinweise ( Neuaufsetzen + Absichern des Systems ) sind somit angesagt.

Nach dem Neuaufsetzen:

Damit du deine Treiber immer auf dem neuesten Stand hast empfehle ich dir
Secunia PSI

Hier erhälst du einen schnellen Überblick über den Zustand deiner Treiber, Risiken und wie man diese Risiken mittels freien Downloads beseitigen kann. So hast du alle Treiber im Griff und immer auf dem neuesten Stand.

Als alternativen Browser kann ich dir nur Firefox an Herz legen. Ad Block Plus
und NoScript sind Erweiterungen, die du in den Firefox einbauen kannst.
Lösche jedoch nicht den Internet Explorer, da du diesen für deine Updates brauchst.

Lasse deine Windows Firewall immer an und verzichte auf andere Firewalls.
Sun´s Java sollte immer auf dem aktuellsten Stand sein. Den Download findest du hier.

Eine Alternative zu Outlook ist Thunderbird, der durch seine Technologie die sichere Variante ist.

CCleaner und Malwarebytes sind mächtige Programme die du weiterhin nutzen solltest...NUTZE sie regelmäßig ( updates nicht vergessen ) CCleaner erhöht bei regelmäßiger Anwendung u.a. auch die Performance deines Systems.


Als letzten Tip kann ich dir nur die agressiven Einstellungen für den Avira Antivirus empfehlen, lies bitte hierzu folgende Seite. Einen Download Link zu Avira findest du hier ebenfalls.......

Gemeinsam mit der Windows Firewall und Malwarebytes sollte dies vollkommen ausreichend sein zu deinem Schutz...

Eines hab ich noch vergessen, brain.exe <------ soll heissen, schalte deinen Kopf ein beim surfen im Internet. Klicke nicht auf Alles, meide P2P Verbindungen, hier tummeln sich diese Biester geradezu.
Meide vor allem suspekte Webseiten, wie warez etc.

Halte dein Windows, Malwarebytes und CCleaner immer auf dem neuesten Stand, automatisiere die updates von Windows....


Ich wünsche dir alles Gute, und vor allem sicheres surfen.....

Besten Dank Redwulf für deinen schnellen und kompetenten Rat!!

Werde deine Vorschläge in die Tat umsetzen. Gerade auch in Bezug Online-Banking, Ebay etc.

Ist wirklich ein super Forum, das sich den Problemen der User annimmt.
Macht bitte weiter so!!

Viele Grüße und schönes (virenfreies) Wochenende!!

Danke für dein Feedback