Mein System war von TR/Crypt.ZPack.Gen befallen (eventuell auch noch mehr). Nach mehrfachem Scannen mit SUPERAntiSpyware u. Malewarebytes scheine ich das Problem auch soweit im Griff zu haben. Nur Internetseiten, die "windowsupdate" in der URL enthalten sind nicht aufrufbar. Das automatische Update von Windows funktioniert. Eine Googlesuche nach "windowsupdate" wird geblockt (Opera 10.53 und IE 8 unter Windows XP SP 3). "windows update" lässt sich aber suchen.

Hallo und

Zitat:

Nach mehrfachem Scannen mit SUPERAntiSpyware u. Malewarebytes

Poste bitte alle Logfiles.

Ok, hier Logs als Anhang. Ich habe wie bereits gesagt schon öfters gescannt.

Ok. Dann mach mal bitte mit otl.exe weiter.

So nun hier die Ausgaben von OTL.EXE. Ich weiß nicht, ob das mit dem Problem zu tun hat, aber ein der Datenträgerverwaltung wird meine Festplatte nicht angezeigt. Sonst funktioniert das System aber offenbar fehlerfrei.

Danke schon mal

Jens

Welche Platte wird nicht anzeigt? garkeine??

Habe nur eine Platte im System. Das DVD-Laufwerk wird angezeigt und auch die Laufwerke, die ich per USB oder eSATA anschliese.

Übrigens finde ich komisch, dass ich seit meinem Download von OTL.EXE mit SUPERAntiSpyware wieder neue Funde hatte (siehe Log im Anhang).

Seltsam ist auch, dass der Avira nicht mehr Alarm schlägt. Das hatte er am Anfang noch getan, wenn wieder eine neue Version von svchost.exe im Windows-Temp-Verzeichnis gelandet war.

Jens

Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code: Alles auswählenAufklappen

ATTFilter

files to delete:
C:\WINDOWS\System32\ftvspclib.dll
C:\WINDOWS\System32\axftvspclib.dll
C:\WINDOWS\System32\5455aa3e.exe
C:\WINDOWS\System32\OP5650.cah
C:\WINDOWS\SYSTEM32\SDRA64.EXE

folders to delete:
C:\WINDOWS\system32\lowsec
C:\WINDOWS\TEMP\DIPO.TMP
C:\WINDOWS\TEMP\PDGQ.TMP
         

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei File-Upload.net hochladen und hier verlinken

Ich glaube, ich habe das Problem gelöst. Da ich unter Windows nicht mehr in meinen eigenen Beitrag rein kam ("windowsupdate" in der URL!), musste ich diese Dinge unter Linux machen. Ich habe noch eine "SuSE" auf meinem Rechner. Da kam ich auf die Idee, mal den Avira für Linux zu installieren. Mit den neuesten Updates habe ich dann die Windowspartition komplett gescannt. Nach einiger Zeit hat er mir "intelppm.sys" angemeckert. Ich habe sie umbenannt. Nach dem Windowsstart hat Avira dann die umbenannte Datei auch sofort in Quarantäne verschoben (siehe Screenshot im Anhang). Jetzt funktioniert auch das mit Windowsupdate wieder.

Vielleicht hilft das auch anderen.



Jens

Ähm naja, Virenscanner für Linux würde ich nicht unbedingt machen, auf jeden Fall keinen Echtzeitschutz aktivieren.
Außerdem waren wir noch nicht durch mit der Analyse. Also führe den Avenger wie beschrieben aus.

So, habe ich gemacht. Avenger ist durchgelaufen und hier im Anhang sind die beiden Dateien.

Ich habe natürlich keinen Echtzeitschutz auf die Windowspartition unter Linux eingerichtet.

Ich hoffe es ist dann ausgestanden.

Hätte ich den "intelppm.sys" auch unter Windows killen können?

Gruß

Jens

Zitat:

Hätte ich den "intelppm.sys" auch unter Windows killen können?

Ja, da hat man durchaus Mittel für. Du kannst ja jetztmal eben schnell Logfiles mit GMER und OSAM posten.

So, habe jetzt GMER und OSAM laufen lassen. Die Logs sind im Anhang.

Gruß

Jens

Die sehen nun nach Deiner Behandlung mit Linux unauffällig aus

Fein und Danke vielmals.

Jens