Hallo,

ich habe ein ähnliches Problem, wie es Toppy in Ihrem Forum beschrieben hat: Avira AntiVir meldet mir den Trojaner TR/Crypt.XPACK.Gen3 in C:\WINDOWS\Temp\TMP8D.tmp; C:\WINDOWS\Temp\TMP8E.tmp; C:\WINDOWS\Temp\TMP6E.tmp; C:\WINDOWS\Temp\TMP83.tmp. Ich habe die Dateien in Quarantäne verschoben. Ein Scan mit Malwarebyte - Antimalware 1.46 (nach Deaktivierung des Wiederherstellungspunktes) lieferte keinen Virusfund. In Ihrem Forum empfehlen Sie dringend, dass ein Scan mit ComboFix nur nach Anweisung eines "Kompetenzlers" durchgeführt werden soll. Ich habe anbei die Log Files von Malwarebyte 1.46 bzw. OTL angehängt. Ich würde mich freuen, wenn Sie sich diese Files anschauen und mir raten könnten, wie ich das Virusproblem beseitigt bekomme. Im Voraus schon herzlichen Dank für Ihr Bemühen.
Tekel

Gibt es noch weitere Logs von Malwarebytes? Wäre sehr sinnfrei, wenn Du das ohne Funde gepostet hättest!

Hallo Arne,

zunächst vielen Dank fürs Anschauen der logfiles. Ich habe heute einen weiteren Quick-scan mit Malywarebytes gemacht. Das logfile habe ich angehängt. Es wurde kein Fund festgestellt. Ich habe auch keine Funde gelöscht bzw. Dateien, die in Quarantäne verschoben wurden. Ein aktueller Scan mit Avira klappt momentan nicht, der Rechner stürzt mir nach ca. 68 % ab. Bei jedem neuen Booten des Rechners ist das anti-phishing Modul von Zone-Alarm deaktiviert. Ich habe das letzte log file von Avira vom 02.10.10 angehängt, dort hat es jeweils in .tmp-Dateien 51 Infizierungen gefunden. Diese hatte ich damals aus der Quarantäne gelöscht.

So, erstmal: Es ist ziemlich unsinnig, die Logs, als Textdatei vorliegend, in ein Worddokument zu gießen. Was ich brauch sind die reinen Textinformationen und die sind in der Original-Logdatei schon so drin wie ich sie brauche. Also lass die Logs so und speich sie nicht in ein Worddoc ab sondern poste einfach den Inhalt der Logdateien.

Zitat:

Art des Suchlaufs: Quick-Scan

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Hallo Cosinus,

anbei das neue logfile von Malwarebytes (Vollscan). Es wurden wieder keine infizierten Dateien gefunden. Ich habe auch nichts gelöscht oder es wurden Dateien in Quarantäne verschoben. die übrigen Auffälligkeiten bestehen aber nach wie vor.

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
DRV - (srescan) -- C:\WINDOWS\System32\ZoneLabs\srescan.sys File not found
IE - HKU\S-1-5-21-3357497900-2882494843-2153148228-1006\..\URLSearchHook: {66f2e20d-0da8-4c11-a9c8-dd8477b88acd} - C:\Programme\ZoneAlarm\tbZon1.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-3357497900-2882494843-2153148228-1006\..\URLSearchHook: {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL (Ask.com)
O2 - BHO: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - No CLSID value found.
[2010.08.14 19:13:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
@Alternate Data Stream - 135 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2
@Alternate Data Stream - 105 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:430C6D84
@Alternate Data Stream - 103 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A8ADE5D8
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hallo Arne,

anbei das logfile von OTL. Habe den Eindruck, dass der Rechner wieder schneller läuft.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,

anbei nun das logfile von ComboFix

Code: Alles auswählenAufklappen

ATTFilter

FW: Kaspersky Anti-Hacker *enabled* {0BB8CA15-F396-46C7-9A59-108D852CFEC0}
FW: ZoneAlarm Firewall *enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
         

Kaspersky Antihacker und ZoneAlarm sind ja schon allein jew. ziemlich sinnfrei, aber beide zusammen installiert und aktiv zu haben ist so das ziemlich schlechteste, was man seinem System antun kann
Ich würde beides umgehend deinstallieren und die Windows-Firewall dafür einschalten.


Wenn Du das gemacht hast bitte so fortfahren:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code: Alles auswählenAufklappen

ATTFilter

Filelook::
c:\windows\system32\Crypserv.exe
c:\windows\system32\Ckldrv.sys
c:\windows\Ckconfig.exe
c:\windows\Setup_ck.exe
c:\windows\Setup_ck.dll
c:\windows\Ckrfresh.exe
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo Arne,

ich war der Meinung, dass ich das Programm Kaspersky Antihacker längst deinstalliert hatte. Ich finde diesbezüglich keinen Hinweis, weder in der Liste installierter Programme noch wenn ich nach den entsprechenden Begriffen mit der Suchfunktion suchen lasse. Wie bekomme ich das Programm komplett deinstalliert?

Dann igonorier das, wahrscheinlich ist es ein verwaister Eintrag, der noch im Sicherheitscenter ist. Den kriegen wir aber auch weg.

Nimm statt dem o.g. einfach das Script für CF:

Code: Alles auswählenAufklappen

ATTFilter

Seccenter::
FW: Kaspersky Anti-Hacker *enabled* {0BB8CA15-F396-46C7-9A59-108D852CFEC0}

Filelook::
c:\windows\system32\Crypserv.exe
c:\windows\system32\Ckldrv.sys
c:\windows\Ckconfig.exe
c:\windows\Setup_ck.exe
c:\windows\Setup_ck.dll
c:\windows\Ckrfresh.exe
         

Hallo Arne,

sorry hat etwas gedauert. Anbei das log file. Bei der Ausführung wurde ich nicht aufgefordert neu zu starten, stattdessen der Hinweis Combofix läuft im reduzierten Funktionalitätsmodus.

Ich habe zwischenzeitlich auch einen Scan mit Avira und Malwarebytes durchgeführt, beide Programme ergeben keinen Fund, wobei bei Avira noch 112 Dateien in Quarantäne stehen. Was ich dabei auch nicht verstehe ist, dass ich diesmal kein log file erhalten habe, nur eine Meldung das der Scan erfolgreich war.

Zitat:

c:\windows\system32\Crypserv.exe
c:\windows\system32\Ckldrv.sys
c:\windows\Ckconfig.exe
c:\windows\Setup_ck.exe
c:\windows\Setup_ck.dll
c:\windows\Ckrfresh.exe

Bitte diese Dateien bei Virustotal auswerten lassen und von jeder den Ergebnislink posten. Falls Du die Dateien nicht siehst, musst Du sie evtl. vorher sichtbar machen.
Wenn eine Datei schon ausgewerte sein sollte, bitte eine weitere Auswertung starten.

Hallo Arne,

anbei die Auswertungen von Virustotal (bin mir nicht sicher, ob es das ist, was Du meintest)