Hallo,

ich habe mir vor einigen Tagen den TR/Crypt.ZPACK.Gen eingefangen. Leider ist es mir nicht gelungen ihn selbst zu beseitigen.
Ich habe aber die Beginner-Anleitung gelesen und die drei Programme ausgeführt. Leider findet Malwarebytes die Rootkits nach einenm Neustart wieder. Avira löst auch weiterhin aus, dass \TEMP\***\svchost.exe infiziert ist.

Malwarebytes log:

Malwarebytes' Anti-Malware 1.45
w**.malwarebytes.org

Datenbank Version: 3973

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

10.04.2010 15:55:03
mbam-log-2010-04-10 (15-55-03).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|I:\|)
Durchsuchte Objekte: 215706
Laufzeit: 1 Stunde(n), 4 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\Dokumente und Einstellungen\***\***\Settings\cbss.dll (Trojan.Agent) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cbssreg (Trojan.Agent) -> Delete on reboot.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\***\***\Settings\cbss.dll (Trojan.Agent) -> Delete on reboot.

Probiere mal mit Norton Antivirus und dann nochmal Malwarebytes Anti-Malware

Hallo Highway,

Norton habe ich leider nicht und dieser Post ist bereits der zweite Durchlauf. Der erste hatte folgendes ergeben:
Infizierte Dateien:
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\114.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.

Ich kann auch noch die RSIT files posten, falls es Dir etwas nutzt.
Vielen Dank, Max

Könntest du nochmal ein HijackThis Logfile posten?
Eine kostenlose Testversion von Norton müsste es eigentlich geben.

MfG
Thomas

Hallo Thomas,

deinen Rat Nortons Probeversion zu holen, habe ich befolgt.
Leider hat ein kompletter Scan keinen Erfolg gebracht.
Jedoch ließ sich der Pc anschließend nicht starten und der abgesicherte Modus ging auch nicht mehr.
Ich hab den PC jetzt platt gemacht und neu aufgesetzt, du kannst den Thread also löschen.
Vielen Dank für deine Unterstützung
Maximilian