Liebes Forum,

mein Antivir hat mir gestern aus heiterem Himmel einen vermeintlichen Trojaner-Fund gemeldet:
"In der Datei 'C:\Programme\Skype\Phone\Skype.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern"

Ein Quickscan mit Malwarebytes brachte das gleiche Ergebnis -> nach "entfernen" und Neustart war der erneute Quickscan ohne Fund *puh*

Allerdings ist das System recht langsam, auch wenn keine komplizierten Programme geöffnet sind *misstrauisch-sei*

Wäre sehr froh, wenn ein Auskenner mir auf Grund der angehängten Logfiles sagen könnte, ob die Säuberungsaktion nachhaltig war...

Allerherzlichen Dank,
Maria

bitte deinstaliere mal spybot, es stört die bereinigung, dann neustart.
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

SpyBot deinstalliert, ComboFix ausgeführt. Log im Anhang

Herzlichen Dank!!

http://www.trojaner-board.de/74908-a...t-scanner.html
poste bitte einen GMER report

Hallo,

hier der GMER Log:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2010-12-02 19:50:12
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 FUJITSU_MHV2080AH rev.00830096
Running: jw8rrlwl.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\uxtdypod.sys


---- System - GMER 1.0.15 ----

SSDT            F7AC175E                                                                                                                ZwCreateKey
SSDT            F7AC1754                                                                                                                ZwCreateThread
SSDT            F7AC1763                                                                                                                ZwDeleteKey
SSDT            F7AC176D                                                                                                                ZwDeleteValueKey
SSDT            F7AC1772                                                                                                                ZwLoadKey
SSDT            F7AC1740                                                                                                                ZwOpenProcess
SSDT            F7AC1745                                                                                                                ZwOpenThread
SSDT            F7AC177C                                                                                                                ZwReplaceKey
SSDT            F7AC1777                                                                                                                ZwRestoreKey
SSDT            F7AC1768                                                                                                                ZwSetValueKey

---- Kernel code sections - GMER 1.0.15 ----

init            C:\WINDOWS\system32\drivers\tifm21.sys                                                                                  entry point in "init" section [0xF6688EBF]
?               C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\catchme.sys                                                                          Das System kann die angegebene Datei nicht finden. !
?               C:\WINDOWS\system32\Drivers\PROCEXP113.SYS                                                                              Das System kann die angegebene Datei nicht finden. !
?               System32\Drivers\hiber_WMILIB.SYS                                                                                       Das System kann den angegebenen Pfad nicht finden. !

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\Programme\Logitech\QuickCam\Quickcam.exe[3976] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile]           [00F02F20] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll
IAT             C:\Programme\Logitech\QuickCam\Quickcam.exe[3976] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile]  [00F02C90] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll
IAT             C:\Programme\Logitech\QuickCam\Quickcam.exe[3976] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose]                [00F02CF0] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll
IAT             C:\Programme\Logitech\QuickCam\Quickcam.exe[3976] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject]      [00F02CC0] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll
IAT             C:\WINDOWS\explorer.exe[6384] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile]                               [00C42F20] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll
IAT             C:\WINDOWS\explorer.exe[6384] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile]                      [00C42C90] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll
IAT             C:\WINDOWS\explorer.exe[6384] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose]                                    [00C42CF0] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll
IAT             C:\WINDOWS\explorer.exe[6384] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject]                          [00C42CC0] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                                 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                                                 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1                                                                                  snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2                                                                                  snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume3                                                                                  snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                                fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
         

Leiderleiderleider tauchte aber beim Aktivieren von Antivir direkt die nächste Meldung auf:
"In der Datei 'C:\WINDOWS\Temp\logishrd\LVPrcInj01.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Durchgeführte Aktion(en):
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations> wurde erfolgreich entfernt.
Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003.
Die Datei konnte nicht gelöscht werden!
Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '579b6821.qua' verschoben!
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations> konnte nicht entfernt werden."

Also alles von vorne.. Malwarebytes hat nichts gefunden.
RSIT, Hijack, OTL, ComboFix laufen lassen -> Logs im Anhang.

Stehen die beiden Ereignisse in einem Zusammenhang? Und wie stehen die Chancen auf (nachhaltige) Bereinigung?!

1000 Dank schonmal!

bitte cfombofix nicht nutzen, ohne anweisung, das ist hier ein fehlalarm.

avira
http://www.trojaner-board.de/54192-a...tellungen.html
avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm.
klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten.
bitte auch unter verwaltung, planer, scan auftrag, darauf achten, das dieser über lokale laufwerke läuft! sonst werden die einstellungen nicht gültig.
den update auftrag auf 1x pro tag einstellen.
und "nachhohlen falls zeit überschritten" auswählen

Ups, sorry für die unaufgeforderte ComboFix-Verwendung..

Anbei das Antivir-Logfile. Nach Update & Scan wurde nichts mehr gefunden. Heißt das etwa.. Entwarnung, alles gut?!

Danke!!

gibts noch probleme, wennn net würd ich den pc noch gern mit dir absichern

Direkte Probleme im Sinne von Abstürzen, ungewöhnlichem Verhalten etc. gab es ja zum Glück (noch) nicht - nur eine relativ schlechte Performance.

Was meinst du mit absichern konkret?

Gruß, ma_lun (ohne NB unterwegs am WE)

schaun wir mal, wegen der schlechten performance.
lade den CCleaner slim:
Piriform - Builds
falls der CCleaner bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Hallo Markus,

kurzes Update: Nach einem nochmaligen BitDefender-Scan der (ausgebauten + per USB angeschlossenen) Festplatte, der keine Verseuchung mehr fand, streikt die Festplatte nun generell: "Lesefehler..", kein Zugriff über den Explorer usw.

Wenn ich das gefixt habe - notfalls eben doch mit der ungeliebten Neuinstallation :-/ - melde ich mich ggf. nochmal.

Danke nochmal/trotzdem/schonmal!