Hallo Leute,

Vor 2 Wochen wurde ich bei einem Onlinebankingversuch nett darauf hingewiesen, dass ich einen Trojaner auf meinem Rechner habe. Ein Tag später sprang auch Antivir darauf an und sagte, dass C:\Users\Besitzer\AppData\Local\Temp\irftsync.dll das Trojanische Pferd TR/Crypt.XPACK.Gen sei. Alle Lösch- und Quarantäneversuche halfen nicht. Ich probierte daraufhin meinen Tempordner per "Hand" zu löschen, worauf mir gesagt wurde, ich hätte keine Rechte die Datei "irftsync.dll" zu löschen.
Als ich es etwas später dann nochmal probierte, konnte ich diese Datei plötzlich löschen. Antivir hat Ruhe gegeben und es schien wieder alles ok zu sein. Allerdings war ich ein wenig verwundert, dass es plötzlich doch so einfach ging, vor allem weil ich bei euch hier im Forum gelesen habe, wie Hartnäckig und kompliziert diese Art Trojaner zu knacken sind.
Deshalb lies ich im abgesicherten Modus Malwarebytes Anti Maleware und GMER durchlaufen. Malwarebytes fand nichts GMER allerdings schmiss etwas heraus was mich beunruhigt.



Hier der Malwarebericht:

Malwarebytes' Anti-Malware 1.46
w*w.malwarebytes.org

Datenbank Version: 5105

Windows 6.0.6002 Service Pack 2 (Safe Mode)
Internet Explorer 8.0.6001.18975

13.11.2010 12:38:50
mbam-log-2010-11-13 (12-38-50).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 144274
Laufzeit: 5 Minute(n), 0 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)




Und der GMERbericht:



GMER 1.0.15.14966 - hxxp://w*w.gmer.net
Rootkit scan 2010-11-12 17:55:17
Windows 6.0.6002 Service Pack 2


---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xBF 0x95 0xEE 0x7D ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xBF 0x95 0xEE 0x7D ...

---- Files - GMER 1.0.15 ----

File C:\Windows\System32\LogFiles\HTTPERR\httperr1.log (size mismatch) 52582/51848 bytes
File C:\Windows\System32\LogFiles\Scm\SCM.EVM (size mismatch) 262144/0 bytes
File C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl (size mismatch) 44824/216 bytes
File C:\Windows\System32\WDI\LogFiles\WdiContextLog.etl.002 (size mismatch) 114688/0 bytes

---- EOF - GMER 1.0.15 ----




Da ich nicht grad der Experte auf diesem Gebiet bin, aber die Worte "size mismatch" für mich nicht grad gut klingen, hoffe ich ihr könnt mir weiterhelfen. Würde gerne wieder Trojanerfrei im Internet surfen können.

Mfg
A. Folie

ich persönlich würde, da du banking machst, neu aufsetzen, damit bist du ganz sicher, dass wieder alles in ordnung ist, außerdem würde ich dir weitere tipps geben, das system abzusichern.

Ok, werd ich dann mal in Angriff nehmen.

Danke für die schnelle Antwort