TR/Crypt.XPACK.Gen gelöscht, oder nicht?
 

Hallo Experten,

ich habe schon gegooglet etc., aber nichts passendes gefunden. Und zwar hat gestern mein AntiVir Alarm geschlagen. Und zwar handelte sich um den sehr bekannten TR/Crypt.XPACK.Gen Trojaner. Nun stand da, dass er sich in der .exe Datei C:/Windows/xmlinst.exe befand, also hab ich kurzer Hand, und ohne nachzudenken, diese .exe gelöscht. Nun stellen sich mir zwei Fragen:

1. War diese Datei wichtig?

2. Ist der Trojaner jetzt vom PC? (Mein AntiVir finden keinen mehr, auch die Kaspersky Onlinedurchsuchung nicht.)

(Ich besitze Windows Vista)


Vielen Dank für die Hilfe schon mal im Voraus.

Lop S&D

Lade dir Lop S&D herunter.

Deaktivier bitte dein Antivirenprogramm während des folgenden Scans

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 1 (Suche)
Warte bis der Scanbericht erstellt wird (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen)

(Sollte dein Desktop verschwinden, drücke bitte Ctrl + Alt + Entf um den Taskmanager zu starten. Wähle unter Datei, neuen Task aus und gib dort explorer.exe ein)

Natürlich alles nur, wenn du als Admin eingeloggt bist.

@ Sunny
hast du das jetzt an Email Adresse gesehen dass es selbe User ist?

Was meinst du?

Ich habe nur gesehen das der User in allen möglichen Themen dazwischengepostet hat, anstatt gleich sein eigenes Thema zu erstellen. ;)
(so wie es sein sollte. :D)

So sry dass es so lange gedauert hat. Meine Internetverbindung wird immer unterbrochen. Liegt das vllt. an diesem Trojaner? :rolleyes:

Hm da steht zwar: USER: Florizwei (Not Administrator ! ) aber ich bin Admin. Oder soll ich es nochmal machen, mit Rechtsklick "Als Admin ausführen"?

So hier ist der Bericht:

--------------------\\ Lop S&D 4.2.5-0 XP/Vista

Microsoft® Windows Vista™ Home Premium ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU T8100 @ 2.10GHz )
BIOS : Phoenix TrustedCore(tm) NB Service Pack 3B Version 0.00 03SR
USER : Florizwei ( Not Administrator ! )
BOOT : Normal boot
Firewall : ZoneAlarm Firewall 7.1.254.000 (Activated)
C:\ (Local Disk) - NTFS - Total:111 Go (Free:51 Go)
D:\ (Local Disk) - NTFS - Total:110 Go (Free:96 Go)
E:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)

"C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
Option : [1] ( 27.02.2009|17:31 )

[ UAC => 1 ]

--------------------\\ Ordner Verzeichnis unter Local

[25.02.2009|00:59] C:\Users\***AppData\Local\Adobe
[21.06.2008|13:33] C:\Users\***\AppData\Local\Anwendungsdaten
[02.12.2008|19:27] C:\Users\***\AppData\Local\Apple
[02.12.2008|19:32] C:\Users\***\AppData\Local\Apple Computer
[10.08.2008|22:08] C:\Users\***\AppData\Local\ApplicationHistory
[05.02.2009|21:53] C:\Users\***\AppData\Local\AquaMark3
[11.08.2008|16:37] C:\Users\***\AppData\Local\ashampoo
[06.11.2008|11:23] C:\Users\***\AppData\Local\d3d8caps.dat
[06.11.2008|11:23] C:\Users\***\AppData\Local\d3d9caps.dat
[25.02.2009|00:10] C:\Users\***\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[11.08.2008|16:05] C:\Users\***\AppData\Local\Downloaded Installations
[15.10.2008|18:01] C:\Users\***\AppData\Local\FRITZ!
[21.06.2008|16:32] C:\Users\***\AppData\Local\fusioncache.dat
[22.06.2008|11:55] C:\Users\***\AppData\Local\GameSpy
[29.12.2008|02:31] C:\Users\***\AppData\Local\gctmp
[25.01.2009|13:54] C:\Users\***\AppData\Local\GDIPFONTCACHEV1.DAT
[27.02.2009|17:20] C:\Users\***\AppData\Local\IconCache.db
[27.12.2008|01:35] C:\Users\***\AppData\Local\Microsoft
[20.07.2008|14:24] C:\Users\***\AppData\Local\Microsoft Games
[25.01.2009|19:10] C:\Users\***\AppData\Local\Microsoft Help
[11.08.2008|13:46] C:\Users\***\AppData\Local\Mozilla
[26.06.2008|19:45] C:\Users\***\AppData\Local\Oblivion
[17.09.2008|20:06] C:\Users\***\AppData\Local\PunkBuster
[17.12.2008|15:05] C:\Users\***\AppData\Local\Richi
[27.02.2009|17:31] C:\Users***\AppData\Local\Temp
[21.06.2008|13:33] C:\Users\***\AppData\Local\Temporary Internet Files
[05.12.2008|14:25] C:\Users\***\AppData\Local\TVU Networks
[21.06.2008|13:33] C:\Users\***\AppData\Local\Verlauf
[21.06.2008|16:34] C:\Users\***\AppData\Local\VirtualStore
[19.07.2008|22:22] C:\Users\***\AppData\Local\World in Conflict
[29.12.2008|01:33] C:\Users\***\AppData\Local\Xenocode
[6|Datei(en),] C:\Users\***\AppData\Local\Bytes
[27|Verzeichnis(se),] C:\Users\***\AppData\Local\Bytes frei

--------------------\\ Geplante Aufgaben unter C:\Windows\Tasks

[27.02.2009 17:22][--ah-----] C:\Windows\tasks\SA.DAT
[27.02.2009 17:21][--a------] C:\Windows\tasks\SCHEDLGU.TXT

--------------------\\ Ordner Verzeichnis unter C:\ProgramData

[29.12.2007|03:28] C:\ProgramData\{623D32E9-0C62-4453-AD44-98B31F52A5E1}
[25.02.2009|01:00] C:\ProgramData\Adobe
[11.08.2008|16:08] C:\ProgramData\Ahead
[08.06.2008|14:51] C:\ProgramData\Anwendungsdaten
[02.11.2006|14:02] C:\ProgramData\Application Data
[19.06.2008|17:52] C:\ProgramData\ashampoo
[10.08.2008|15:04] C:\ProgramData\Avira
[26.01.2009|13:15] C:\ProgramData\CheckPoint
[20.06.2008|23:17] C:\ProgramData\CyberLink
[02.11.2006|14:02] C:\ProgramData\Desktop
[02.11.2006|14:02] C:\ProgramData\Documents
[08.06.2008|14:51] C:\ProgramData\Dokumente
[11.08.2008|16:05] C:\ProgramData\Electronic Arts
[14.12.2008|17:35] C:\ProgramData\ezsid.dat
[08.11.2008|18:07] C:\ProgramData\ezsidmv.dat
[08.06.2008|14:51] C:\ProgramData\Favoriten
[02.11.2006|14:02] C:\ProgramData\Favorites
[17.02.2009|19:37] C:\ProgramData\FLEXnet
[11.02.2009|18:46] C:\ProgramData\FreeDownloadManager.ORG
[01.12.2008|20:20] C:\ProgramData\ICQ
[20.06.2008|11:55] C:\ProgramData\InstallShield
[19.06.2008|17:35] C:\ProgramData\LightScribe
[26.01.2009|13:10] C:\ProgramData\McAfee
[18.12.2008|17:00] C:\ProgramData\Messenger Plus!
[21.01.2009|23:28] C:\ProgramData\Microsoft
[24.01.2009|03:05] C:\ProgramData\Microsoft Help
[29.12.2007|02:14] C:\ProgramData\Movie
[02.12.2008|15:57] C:\ProgramData\NVIDIA
[19.11.2008|03:55] C:\ProgramData\PrettyMay
[11.01.2009|13:53] C:\ProgramData\Skype
[02.11.2006|14:02] C:\ProgramData\Start Menu
[08.06.2008|14:51] C:\ProgramData\Startmenü
[29.12.2008|05:30] C:\ProgramData\Symantec
[02.11.2006|14:02] C:\ProgramData\Templates
[05.12.2008|14:25] C:\ProgramData\TVU Networks
[08.06.2008|14:51] C:\ProgramData\Vorlagen
[06.02.2009|19:32] C:\ProgramData\WindowsSearch
[27.12.2008|01:28] C:\ProgramData\WLInstaller
[26.02.2009|18:08] C:\ProgramData\Xfire
[2|Datei(en),] C:\ProgramData\Bytes
[39|Verzeichnis(se),] C:\ProgramData\Bytes frei

--------------------\\ Ordner Verzeichnis unter C:\Program Files

[29.12.2007|03:28] C:\Program Files\Activation Assistant for the 2007 Microsoft Office suites
[25.02.2009|01:01] C:\Program Files\Adobe
[24.01.2009|17:51] C:\Program Files\Adobe Media Player
[14.09.2008|17:09] C:\Program Files\AGEIA Technologies
[05.12.2008|14:18] C:\Program Files\Ashampoo
[10.08.2008|15:04] C:\Program Files\Avira
[29.12.2008|03:10] C:\Program Files\AviSynth 2.5
[20.02.2009|23:11] C:\Program Files\Common Files
[29.12.2007|02:04] C:\Program Files\CyberLink
[02.01.2009|20:51] C:\Program Files\DVDVideoSoft
[12.02.2009|14:39] C:\Program Files\EA GAMES
[18.01.2009|15:37] C:\Program Files\FileZilla FTP Client
[11.02.2009|18:47] C:\Program Files\Free Download Manager
[20.02.2009|23:11] C:\Program Files\FRITZ!Box
[20.02.2009|23:11] C:\Program Files\FRITZ!BoxPrint
[20.02.2009|23:11] C:\Program Files\FRITZ!DSL
[26.02.2009|14:25] C:\Program Files\G4box
[01.11.2008|13:18] C:\Program Files\GameSpy Arcade
[08.06.2008|14:51] C:\Program Files\Gemeinsame Dateien [C:\Program Files\Common Files]
[01.12.2008|20:21] C:\Program Files\ICQ6.5
[14.02.2009|00:51] C:\Program Files\InstallShield Installation Information
[29.12.2007|01:56] C:\Program Files\Intel
[02.12.2008|19:29] C:\Program Files\Internet Explorer
[14.12.2008|16:52] C:\Program Files\Java
[03.02.2009|13:33] C:\Program Files\Maxis
[12.02.2009|18:03] C:\Program Files\Messenger Plus! Live
[23.10.2008|18:47] C:\Program Files\Microsoft Games
[21.01.2009|18:44] C:\Program Files\Microsoft Office
[21.01.2009|23:28] C:\Program Files\Microsoft Small Business
[30.10.2008|16:14] C:\Program Files\Microsoft SQL Server
[21.01.2009|18:44] C:\Program Files\Microsoft Works
[21.01.2009|23:31] C:\Program Files\Microsoft.NET
[02.12.2008|16:17] C:\Program Files\Movie Maker
[06.02.2009|15:53] C:\Program Files\Mozilla Firefox
[02.11.2006|13:37] C:\Program Files\MSBuild
[29.12.2007|02:08] C:\Program Files\MSSOAP
[10.08.2008|22:04] C:\Program Files\MSXML 4.0
[29.10.2008|21:52] C:\Program Files\OpenAL
[18.02.2009|21:18] C:\Program Files\PKR
[29.12.2007|01:51] C:\Program Files\Realtek
[02.11.2006|13:37] C:\Program Files\Reference Assemblies
[29.12.2008|17:06] C:\Program Files\Reganam
[29.12.2007|03:35] C:\Program Files\Samsung
[13.02.2009|23:46] C:\Program Files\Sierra
[11.01.2009|13:53] C:\Program Files\Skype
[17.02.2009|19:42] C:\Program Files\Softnyx
[29.12.2007|01:53] C:\Program Files\Synaptics
[01.01.2009|17:48] C:\Program Files\Total Video Converter
[02.11.2006|14:01] C:\Program Files\Uninstall Information
[24.12.2008|06:23] C:\Program Files\VideoLAN
[29.12.2007|01:54] C:\Program Files\WIDCOMM
[02.12.2008|16:17] C:\Program Files\Windows Calendar
[02.12.2008|16:17] C:\Program Files\Windows Collaboration
[02.12.2008|16:17] C:\Program Files\Windows Defender
[02.12.2008|16:17] C:\Program Files\Windows Journal
[27.12.2008|01:35] C:\Program Files\Windows Live
[12.02.2009|12:44] C:\Program Files\Windows Mail
[02.12.2008|16:17] C:\Program Files\Windows Media Player
[08.06.2008|14:51] C:\Program Files\Windows NT
[02.12.2008|16:17] C:\Program Files\Windows Photo Gallery
[02.12.2008|16:17] C:\Program Files\Windows Sidebar
[14.02.2009|15:01] C:\Program Files\WinRAR
[14.02.2009|02:44] C:\Program Files\Wolfenstein - Enemy Territory
[26.02.2009|18:05] C:\Program Files\Xfire
[26.01.2009|13:03] C:\Program Files\Zone Labs
[0|Datei(en),] C:\Program Files\Bytes
[67|Verzeichnis(se),] C:\Program Files\Bytes frei

--------------------\\ Ordner Verzeichnis unter C:\Program Files\Common Files

[25.02.2009|01:02] C:\Program Files\Common Files\Adobe
[24.01.2009|17:47] C:\Program Files\Common Files\Adobe AIR
[11.08.2008|16:07] C:\Program Files\Common Files\Ahead
[20.02.2009|23:11] C:\Program Files\Common Files\AVM
[21.01.2009|18:44] C:\Program Files\Common Files\DESIGNER
[02.01.2009|20:52] C:\Program Files\Common Files\DVDVideoSoft
[21.10.2008|12:12] C:\Program Files\Common Files\INCA Shared
[20.06.2008|11:44] C:\Program Files\Common Files\InstallShield
[10.08.2008|20:44] C:\Program Files\Common Files\Java
[29.12.2007|02:01] C:\Program Files\Common Files\LightScribe
[23.01.2009|18:23] C:\Program Files\Common Files\Macrovision Shared
[24.01.2009|03:03] C:\Program Files\Common Files\microsoft shared
[29.12.2007|02:08] C:\Program Files\Common Files\MSSoap
[11.08.2008|16:09] C:\Program Files\Common Files\Nero
[12.08.2008|00:23] C:\Program Files\Common Files\PX Storage Engine
[02.11.2006|12:18] C:\Program Files\Common Files\Services
[11.01.2009|13:53] C:\Program Files\Common Files\Skype
[02.11.2006|12:18] C:\Program Files\Common Files\SpeechEngines
[21.01.2009|23:28] C:\Program Files\Common Files\System
[07.11.2008|03:04] C:\Program Files\Common Files\Windows Live
[17.10.2008|23:28] C:\Program Files\Common Files\WindowsLiveInstaller
[20.02.2009|23:10] C:\Program Files\Common Files\Wise Installation Wizard
[0|Datei(en),] C:\Program Files\Common Files\Bytes
[24|Verzeichnis(se),] C:\Program Files\Common Files\Bytes frei

--------------------\\ Process

( 72 Processes )

... OK !

--------------------\\ Ueberpruefung mit S_Lop

Kein Lop Ordner gefunden !

--------------------\\ Suche nach Lop Dateien - Ordnern

C:\Users\***\AppData\Local\Temp\msgpl_1259.tmp
C:\Users\***\AppData\Local\Temp\msgpl_3215.tmp
C:\Users\***\AppData\Local\Temp\msgpl_3564.tmp
C:\Users\***\AppData\Local\Temp\msgpl_3aba.tmp
C:\Users\***\AppData\Local\Temp\msgpl_4d96.tmp
C:\Users\***\AppData\Local\Temp\msgpl_509b.tmp
C:\Users\***\AppData\Local\Temp\msgpl_541a.tmp
C:\Users\***\AppData\Local\Temp\msgpl_575c.tmp
C:\Users\***\AppData\Local\Temp\msgpl_6127.tmp
C:\Users\***\AppData\Local\Temp\msgpl_652b.tmp
C:\Users\***\AppData\Local\Temp\msgpl_6f0f.tmp
C:\Users\***\AppData\Local\Temp\msgpl_722a.tmp
C:\Users\***\AppData\Local\Temp\msgpl_9af0.tmp
C:\Users\***\AppData\Local\Temp\msgpl_aca2.tmp
C:\Users\***\AppData\Local\Temp\msgpl_b843.tmp
C:\Users\***\AppData\Local\Temp\msgpl_bf43.tmp
C:\Users\***\AppData\Local\Temp\msgpl_c3a8.tmp
C:\Users\***\AppData\Local\Temp\msgpl_c990.tmp
C:\Users\***\AppData\Local\Temp\msgpl_dc3b.tmp
C:\Users\***\AppData\Local\Temp\msgpl_f000.tmp
C:\Users\***\AppData\Local\Temp\msgpl_fa53.tmp
C:\Users\***\AppData\Roaming\MICROS~1\Windows\Cookies\florizwei@advertising[2].txt
C:\Users\***\AppData\Roaming\MICROS~1\Windows\Cookies\florizwei@adopt.euroclick[2].txt

--------------------\\ Suche innerhalb der Registry

..... OK !

--------------------\\ Ueberpruefung der Hosts Datei

Hosts Datei SAUBER


--------------------\\ Suche nach verborgenen Dateien mit Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-27 17:31:47
Windows 6.0.6001 Service Pack 1 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 6

--------------------\\ Suche nach anderen Infektionen

--------------------\\ Cracks & Keygens ..

C:\Users\***\Music\youtube\Hip-Hop & R'n'B\lil -wayne feat. fat joe - crackhouse.mp3


[F:420][D:44]-> C:\Users\***\AppData\Local\Temp
[F:298][D:1]-> C:\Users\***\AppData\Roaming\MICROS~1\Windows\Cookies
[F:1046][D:26]-> C:\Users\***\AppData\Local\MICROS~1\Windows\TEMPOR~1\content.IE5
[F:75][D:7]-> C:\$Recycle.Bin

1 - "C:\Lop SD\LopR_1.txt" - 27.02.2009|17:33 - Option : [1]

--------------------\\ Scan beendet um 17:33:34
[ UAC => 1 ]

@ Sunny ups ich dachte das wären gleiche User und er hätte sich einen neuen Account gemacht, weil ihm woanders nicht geholfen wird


@ cooLpaC
sorry ich bin grad an einem anderen PC ich muss erstmal die ganzen Anleitungen holen, warte einen Moment ;)

Na klar, immer ruhig. :)

EDIT: das ganze kann hier abgebrochen werden wenn du pes 2009 spielst oder installiert hast!


Hallo :hallo:


Es sollte klar sein, dass die Bereinigung zeitaufwendiger ist als das Neuaufsetzen, deswegen sich bitte gleich überlegen ob man nicht doch Neuaufsetzen will. Neuaufsetzen ist außerdem sicherer als die Bereinigung, selbst ein Computer mit sauberen HiJackThis Log kann stark versucht sein.
Es ist wichtig, dass du genau das machst was man dir sagt. Es sollten keine zusätzlichen Programme installiert werden, wenn man es dir nicht sagt. Beachte bitte die NUBs. Auch wenn die Symptome nach den ersten abgearbeiteten Punkten verschwinden, heißt es noch lange nicht, dass der PC wirklich sauber ist.
Deswegen abwarten bis man dir sagt, dass der PC wirklich sauber ist. Am Besten die Anleitung sich ausdrucken. Alle Programme die in der Anleitung aufgeführt werden, sind Freeware Programme. Es steht bei den meisten Programmen eine Vollversion zur Verfügung, die man bezahlen muss. Bitte nur die Freeversionen nehmen, eine Vollversion ist unnötig!
Die Anleitung sollte in genau dieser Reihenfolge abgearbeitet werden.

Wichtig:
Bitte während der Bereinigung alle externen Medien wie, USB-Sticks, Speicherkarten, externe Festplatten an den PC anschließen.

Vista User:

• Alle Programme und Tools, die angeordnet werde, mit Rechtsklick anklicken und "als Administrator ausführen"
• Bitte mitteilen ob es sich um eine 64 Bit Version handelt, da viele Programme unter dieser Version nicht laufen

Deaktivieren der Systemwiederherstellung

Windows XP:

• Start => Ausführen => sysdm.cpl eingeben => "OK" drücken
• Wähle den Reiter "Systemwiederherstellung"
• Einen Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" setzen => "übernehmen" drücken
• Jetzt den PC booten, der Start kann eine Weile dauern
• Den Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" entfernen und "OK" drücken

Erklärung
Im Verlauf der Infektion wurden auch infizierte Dateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.



Deinstalliere bitte alle Toolbars (ICQ, Google, Askbar...) und unnötige Software wie Spybot S&D, Spyware Doctor, Trojancheck, a-squared free, Zone Alarm, COMODO, eScan und Ad-Aware etc…
Außerdem sollte alles von Google (Toolbar, Updater...) entfernt werden.
Arbeitsplatz => Software => ausgewähltes komplett entfernen
Statt Zone Alarm und COMODO sollte die Windows Firewall benutzt werden:
Arbeitsplatz => Systemsteuerung => Netzwerk – und Internetverbindungen => Windows Firewall => Haken bei „aktiv“ setzen
davor sollte die Firewall deinstalliert werden. Ist eine Antiviren Suite mit integrierter Fireall installiert, kann diese bleiben.



CCleaner

• Downloade Ccleaner und speichere die Datei auf dem Desktop
• Doppelklick auf die Instalationsdatei => mit "Ausführen" bestätigen" => "Deutsch" als Sprache wählen
• Auf "weiter >" klicken, falls die Lizenzbedingungen zustimmen, dann auf "annehmen" drücken
• Das angegebene Zielverzeichnis mit "weiter >" bestätigen
• Den Haken bei Yahoo Toolbar wegnehmen => dann "installieren" => auf "fertig stellen" klicken um die Instalation abzuschließen
• Mit Doppelklick CCleaner öffnen
• Den Browser schließen => auf "Analysieren" klicken => auf Starte "CCleaner"
• "Registry" wählen => auf "Nach Fehlern suchen" klicken => auf "Fehler beheben" klicken
• Diese Prozedur bei jedem Benutzerkonto durchführen
• Als letztes "Extras" wählen => auf " Als Textdatei speichern..." klicken => speichere die Textdatei auf dem Desktop um sie danach hier zu posten

In Zukunft nicht den MS Internet Explorer, sondern einen alternativen Browser wie z.B. Firefox oder Opera.
Der Internet Explorer sollte auschließlich für das Windows Update verwendet werden.
Nach der Bereinigung oder dem Neuaufsetzen sollte Firefox sicher konfiguriert werden mit NoScript



Chache leeren

Um den Cache zu löschen, drücke diese Tastenkombination bei geöffnetem FF (FireFox):


Das Service Pack (SP) kann man beim CCleaner oben nachschauen. Sollte bei XP nur das SP1 installiert sein, hat die Bereinigung keinen Sinn mehr und es kann Neuaufgesetzt werden.
Sollte bei vista das SP1 fehlen hat ebenfalls keinen Sinn mehr, das System sollte auch Neuaufgesetzt werden.

Aktualisieren des Systems:
Start => Alle Programme => Windows Update
Über die benutzerdefinierte Suche fehlende Updates herunterladen und installieren. Auch den Internet Explorer aktualisieren, Version 8 ist die aktuellste.



Konfiguriere die Ordneransicht vernünftig um => Ordneransicht


mal sehen was der hier hinkriegt:

SDFix anwenden:

• Lade das SDFix von AndyManchesta herunter und speichere es auf deinem Desktop.
• Bennene die Datei in asdf.com um. Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner in C:\ zu entpacken:
  http://img.bleepingcomputer.com/swr-...ix-install.jpg
• Starte deinen Rechner neu, diesmal in den abgesicherten Modus <= Hinweise beachten!
• Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
• Gib ein Y ein, um den Reinigungsprozess zu beginnen.
• Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
• Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neustarten kann.
• Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
• Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
• Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Icons wieder zu laden.
• Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
• Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HiJackThis Logfile in deinem nächsten Posting.

Also gehe ich mal davon aus, dass der Trojaner noch auf meinem Laptop ist. Aber warum zeigt mein AntiViren Programm nichts mehr an?

kann verschiedene Ursachen haben, aber spielst du pes 2009 oder ist es bei dir installiert?

Nein, ich bevorzuge Fifa. ^^

Ehrlich gesagt wärs für dich besser hättest du pes 2009 gezockt statt Fifa dann wärs höchstwahrscheinlich eine false positiv :D

aber mach weiter mit der Anleitung

Hab jetzt alles gemacht, bin jetzt im abgesicherten Modus gewesen, wollte runthis.bat starten, ging aber nicht, es kam ein blaues kleines Fenster, das gleich wieder geschlossen wurde.

Was tun?

Malwarebytes' Anti-Malware

• Downloade Malwarebytes' Anti-Malware >>hier<< oder falls Malware verhindenr sollte dass der Link nicht geht versuche es mit diesem
• Installiere Anti-Malware unter dem vorgegebenen Pfad
• Vor jedem Scan solltest du Malwarebytes' Anti-Malware updaten, indem du die Option "Update" wählst => klicke auf den Button "Suche nach Aktualisierungen"
• Gehe nun wieder zurück zu "Scanner" und führe einen Vollständigen Suchlauf durch! => klicke nun auf "Scan"
• Klicke alle Laufwerke an => drücke "Scan starten"
• Lasse alle Funde löschen!
• Poste anschließend das enstandene Logfile

SUPERAntiSpyware

• Downloade SASW >>hier<<
• Installiere das SASW für alle Benutzer mit den vorgegebenen Installationseinstellungen
• Starte es und klicke auf "Check for Updates...". Nachdem dem Update erscheint ein Protokollfenster, schließe es mit "close"
• Klicke im Hauptmenü auf "Preferences", wähle den Reiter "General and Startup", bei dem Kästchen "Start SUPERAntispyware when Windows starts" sollte kein Haken sein
• Wähle nun den Reiter "Scanning Control" und setze Haken bei:
  
• Close browseres before scanning
  
• Scan for tracking cookies
  
• Resolve Links/Shortcuts during scan (.Ink)
  
• Scan Alternate Data Streams
  
• Use Kernel Direct File Access (recommended)
  
• Use Kernel Direct Registry Access (recommended)
  
• Use Direct Disk Access (recommended)
  
• Display scan option in Explorer context (right-click) menu

• Klicke im Hauptmenü den Button "Scan your Computer..."
• Wähle in der Scan Location alle Festplatten und externe Datenträger aus
• Klicke auf "Perform Complete Scan" und gehe auf "weiter"
• Achte darauf dass die Funde in der Box markiert sind, danach klicke auf "weiter"
• Das Log findest du unter "Preferences..." => "Statistics/Logs" => klicke das Log an => "View Log..."
• Poste nun das Log

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:


dann noch einmal versuchen mit SDFix

Muss ich das mit dem Combofix machen, habe Angst was falsch zu machen. Auf der einen Seite steht man muss eine Wiederherstellungskonsole erstellen, die auf der WindowsCD drauf ist, ich habe aber keine.

Du musst keine Widerherstellungskonsole installieren, deine Entscheidung aber ich glaube bei dem Vorgang kann CF bei Internetverbindung die Wiederherstellungskonsole installieren.

Ich hab' aber echt Angst das zu machen. Immerhin bin ich völliger Noob auf dem Gebiet. Nützen dir die anderen LogFiles ohne CF nichts?

Ich hab bisher so gut wie keinen Fall erlebt, bei einem wo CF das System zerschossen hat. Voraussetzen ist natürlich, dass man die Anleitung ganz genau befolgt. Schau dir mal die von Bleepingcomputer an :)
dort wird alles ganz genau und bebildert erklärt, das müsstest du doch hinkriegen :party:
Außerdem was hast du zu verlieren? Wenn CF das System zerschießt dann setzt du Neuauf und dann hast du auch deinen "netten Freund" los :)

Ich kann nicht neuaufsetzen, da ich keine Windows CD habe, wie schon gesagt.

Dann lass es erstmal weg, aber könnte ich den Bericht haben von Avira?

unten rechts auf das Avira Symbol klicken und dann Bericht/Ereignis und dann das TR/Crypt.XPACK.Gen posten das gesamte was Avira sagt.

Aber dann mach mit der Anleitung weiter

Ja bin schon dabei, dauert nur ewig, weil wie gesagt die Internetverbindung dauernd unterbrochen wird. -.-

Hier der Bericht:

Mach dich auf die Suche nach dieser Datei:
gebe mir bescheid ob es diese noch gibt

Lade am besten besten beide Dateien herunter (MBAM und SASW) und installier beide. Dann druckst du die Anleitung aus die ich gepostet habe. Dann kannst du dein Rechner vom Internet trennen. Nach dem du alles gemacht hast kannst du dich melden.

Neenee, die Datei habe ich schon gelöscht. Die gibts nichtmehr.

Die kann sich auch wiederherstellen ;)
deswegen guck nochmal :)
das wär wichtig

Nö ist weg. Hab sie gestern Abend gelöscht. Finde sie auch nichtmehr.

dann mach weiter mit MBAM und SASW :)

Ist das gut oder schlecht, dass die Datei weg ist? xD

Achja, kann den PC nicht vom Inet trennen, weil ich keinen Drucker im Moment habe.

Das ist gut :)
aber du kannst doch die Anleitung in ein Word Dokumt oder als Textdokument.txt speichern dann kannst du es auch offline anschauen :)

Sry bin etwas durcheinander, das kann man natürlich machen. xD

Kein Problem
immer cooL bleiben ;)

Hier erstma der Log von SUPERAntiSpyware:CCleaner:

Malware läuft schon 2 Std 10 Min. -.-

Bei mir läuft er 13 Minuten :D
Hat er schon was gefunden? Alles was er gefunden hat löschen!

Nichts gefunden. :)

poste bitte ein neues HiJackThis

Sowas hier?

Ich glaub aber ich bin nicht mehr in der Lage ihn auszuwerten für heute *gähn*

aber mache das noch bitte:


Gmer

http://www.chip.de/ii/183398422_fb183cfed7.gif

• Donwloade Gmer
• Entpacke es auf dem Desktop
• Trenne dich physikalisch vom Internet (Lan Kabel ziehen)
• Schließe bitte alle Anwendungen, auch das Antivirusprogramm
• Starte den Scan mit Gmer mit "Scan", mache in der Zeit nichts auch keine Mausbewegungen und Tastatureingaben
• Ist der Scan fertig, klicke auf "Copy" und poste dann hier deine Anwort in dem du den Log reinkopierst
• Beende Gmer mit "OK"

Edit:// mir allerdings etwas unvollständig vor. :S

Bin ich befreit oder nicht? :D

Warte bitte, aber ich bin verwirrt :confused:
Hast du Vista oder XP?

Vista? Steht doch überall.

Achso, weil da SP2 steht. Ja habe keine Ahnung.

Nicht, überall...
aber ich komme nacher nochmal und schaue mir deine Logs an :)
Gibt es noch Auffäligkeiten? Meckert Avira rum? Ist dein PC sehr langsam? Alles okay beim Surfen?

Also, seitdem ich die ganzen Sachen durchlaufen lassen habe, werde ich nichtmehr von Internet getrennt. Avira meckert nicht, auch sonst sind keine Auffälligkeiten zu merken. Meine CPUauslastung ist geringer als sonst, früher ~30% jetzt nurnoch 15%.

Update Avira und lass dein System noch einmal kompett scannen und poste das Log hier.
Ich bin dann mal weg

So, hoffe das war's endlich. :S

Nein, ich arbeite gerade dein HJT durch da müssen wir ein bisschen was fixen.

aber lade diese Datei, bei www.virustotal.com hoch und geb mir dann den Link:
die Datei kann gut aber auch böse sein

das hier fixen:

http://www.virustotal.com/reanalisis.html?f3c922561d0d09a139e35086d9807f69

Den hier?

Fixe noch das aus meinem letzten Post. Dann versuche es erneut mit SDFix, wenn das nicht klappt müssen wir mit Combofix ran!

Die O16 Daten und die O2 Datei gehen nicht, da kommt eine Fehlermeldung:

versuche es mal wie in der Anleitung im abgesicherten Modus ;)

dann kannst du auch gleich SDFix ausprobieren

Hoffe mal das ist es, hab nämlich was anderes geklickt, das Andere ging nicht.^^

ich glaub du hast catchme.exe angeklickt statt runthis.bat :D
Kann das sein?

Ja, weil runthis nicht geht. :( Woran liegt's?

Kannst du mir noch mal das Datum sagen, wann Avira den Fund gemacht hat oder seit wann es Probleme gibt?

1.)Lade dir HJTscanlist.zip. -(Punkt 7) herunter anschließend das erhaltene Logfile hier posten.

2.)ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

In der Datei 'C:\Windows\System32\xmlinst.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Datum: 27.02.2009 - Zeit: 02:07:32

Probleme habe ich ja keine deswegen.

perfekt, mach das was ich dir gesagt habe (HJT Scan List und Combofix)

Das HiJack Log kann ich nicht posten, es ist zu groß.

dann lade es hoch
File-Upload.net - Ihr kostenloser File Hoster!

http://www.fileuploadx.de/660548

Sag wenn du's hast, dann kann ich's wieder löschen.

ich habs allerdings wird die Auswertung ein bisschen dauern, aber mache mit Combofix weiter

Ich habe mich überwunden. xD

Wie krieg ich CF wieder vom LapTop runter? Oder soll es noch drauf bleiben?

OK für die beiden Logs brauche ich eine gewisse Zeit.
Gibt es eine Besserung?

Was soll sich denn verbessert haben? Wie gesagt ich habe keine Probleme.:confused:

Irgendetwas blockiert SDFix und will sich versteckt halten.

Kannst du runthis.bat noch einmal versuchen?

Nee geht nicht.

Versuche mal das auswerten zu lassen bei Virsutotal:
Den Pfad musst du selber herausfinden

EDIT:
und diese Datei auch noch:

Und wie finmde ich den heraus?

Zuerst einmal eine andere Frage hast du irgendetwas mit Bluetooth installiert?

Mit der Windowssuche oder mal im Ordner: C:\WINDOWS\System32\ schauen


also hier eine Liste:

Ja habe ich, warum?

Also die Suche ergibt nichts.

Conime.exe hab ich.
Dllhost.exe hab ich.

Anderen Beiden finde ich weder über die Suche, noch im System32 Ordner.

Weil diese Dienste auch als böse anerkannt werden, hättest du gesagt ich hab nichts auf dem Rechner müsstest du sofort Neuaufsetzen.

Konntest du bei allen nicht finden?

versuche mal im Ordner:
und
zu suchen

Ein Tip: klicke auf eine Datei (ACHTUNG: nur ein Klick) in dem jeweiligen Ordner und klicke auf deiner Tastatur dann den ersten Buchstaben, so kannst du manuel suchen.


EDIT: lade sie bei Virustotal hoch und gib mir den Link

Conime: ddlhost: Anderen finde ich nicht.

na gut dann muss ich weiter schauen
wenn das so weiter geht kriegst du bald einen roten Stern :D

Dagegen hätte ich nichts. xD Hautpsache der Trojaner ist weg :D

So sicher bin ich mir da nicht ob es bei einem trojaner bleibt :(

Was, warum?

Es könnte ein Wurm, eine Backdoor und Rootkits sein etc
dann müsstest du auf jeden fall Neuaufsetzen!
aber mache mal das:

FindyKill - Bereinigung

**Falls Du seit der Infektion USB-Sticks, externe Festplatten oder Flash-Karten benutzt hast, schließe diese unbedingt an den Rechner an, damit auch diese bereinigt werden.(über die ganze Reinigungszeit!!) FindyKill ist ein französischsprachiges Programm, geeignet für WindowsXP und Vista.

Falls noch nicht vorhanden, lade FindyKill.exe von hier herunter und speichere die Datei auf dem Desktop. Mache einen Doppelklick auf die Datei, um FindyKill zu installieren, akzeptiere die Nutzungsbedingungen (I agree with the above terms and conditions anhaken) und installiere das Programm in den vorgegebenen Pfad (C:\Programme\FindyKill). Beantworte die Frage, ob dort der Ordner FindyKill angelegt werden soll mit Ja und starte die Installation.

• Doppelklicke das FindyKill-Icon auf dem Desktop.
• Vista-User starten mit Rechtsklick und als Administrator!
• Es öffnet sich ein DOS-Fenster.
• Wähle "F" + Entertaste,
• im nächsten Screen die "2" + Entertaste, um die Bereinigung der Infektionen zu starten.
• Wenn der Scan beginnt, wird FindyKill eine Warnung anzeigen, dass Windows evtl. neu gestartet werden muss, akzeptiere das mit OK.
• Es wird eine Datenträgerbereinigung durchgeführt.
• Wenn der Suchlauf beendet ist, siehst Du (ggfs. nach Neustart) im DOS-Fenster den Hinweis "Nettoyage effetuee!".
• Das Fenster schließen.
• Poste den Bericht, der unter C:\FindyKill.txt zu finden ist, hier in den Thread.

Wenn es sowas sein sollte, kann ich den Laptop weghauen, ich hab keine Windows CD.

Mach dir mal keine Sorgen wegen der CD ;)

Wie hoch ist die Wahrscheinlichkeit ca. in Prozent, dass ich nen Rootkit oder sowas drauf habe. :(

Rootkit an sich ist kein Grund Neuaufzusetzen doch der Rootkit will ja irgendetwas tarnen, kann gut möglich sein, dass es Wurm oder eine Backdoor ist.

Was konntest du bis jetzt durch die ganzen Logfiles rausfinden? Ist es was schlimmes? - Lol, wie beim Arzt hier. xD -

Es gibt mehrere Dinge die mir aufgefallen sind, zum einen kleinere. Es gibt eine Schwellung im Bereich des Articulatio genus das deutet auf eine Luxation hin.
Auch konnten wir einen Tumor im Bereich des Hypothalamus feststellen, den müssten wir chirugisch entfernen. Allerdings könnte er sich schon über die Lymphknoten ausgebreitet haben. Es sieht Leider nicht gut aus :(


Nein Spaß bei Seite, ich ackere gerade dein CF Log durch

Dachte schon "was willer jetz von mir?" xD. Daraus schließe ich du hast noch nichts schlimmes entdeckt? Naja, hoffe mal dem ist so. :)

An deiner Stelle würde ich hoffen, dass ich was entdecke :D

okay wir scannen noch mal nach Rootkits:

Avira AntiRootkit Tool

• Downloade Avira AntiRootkit Tool von >>hier<< oder >>hier<< und speichere es auf dem Desktop
• Entpacke und installiere es
• Start => Avira RootKit Detection
• Versichere, dich dass alle Kästchen einen Hacken haben außer "Fast Scan"
• Schließe nun alle Programme auch dein AV-Prog und trenne dich physikalisch von der Internet Verbindung
• Falls Rootkits gefunden wurden klicke auf "Quarantine all" danach 2 mal "OK"
• Klicke auf View report und kopiere den gesamten Text und speichere den gesamten Text als eine Textdatei
• Boote den PC neu und danach noch einmal einen Scan durchführen
• den report jetzt posten

Blacklight scannen lassen

• Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
• Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
• Klick "I accept the agreement", "next", "Scan".
• Wenn der Scan fertig ist beende Blacklight mit "Close".
• Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

Panda AntiRootkit

• Lade dir bitte Panda's AntiRootkit.zip und entpacke es auf dem Desktop.
• Starte die PAVARK.exe durch einen Doppelklick.
• Setze für die Option In-depth Scan ein Häkchen. Der Rechner muss danach neugestartet werden damit ein Treiber installiert werden kann.
• Starte den Scan nach dem Neustarte mit einem Klick auf Scan starten.
• Sollten Rootkits gefunden worden sein werden sie dir im zweiten Schritt aufgelistet. Es ist unbedingt notwendig, dass wir diese Informationen erhalten!
  Kopiere bzw. tippe sie also entweder ab oder erstelle einen Screenshot und stelle uns diesen zur Verfügung.
• Bereinige die Funde anschließend!

GMER - Rootkit Detection

• Lade Gmer von hier
• entpacke es auf den Dektop
• Doppelklicke die gmer.exe
• Der Reiter Rootkit oben ist schon angewählt

http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg

• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier posten
• Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

Aber warum bist du dir so sicher, dass etwas drauf ist, wenn du doch nichts erkennst?

Weil runthis.bat nicht geht und ich im HiJackThis Forum auch mal kurz reingeschaut hab.

Die Rootkits tarnen und wenn etwas drauf ist, aber man es nicht sieht könnte es ein Rootkit sein ;)

Vielleicht habe ich etwas falsch gemacht, da stand i.etwas mit umbennen was ich nicht gemacht habe. Kenne mich nicht aus, kann du's mir vllt nochmal Schritt für Schritt erklären?

OK deinstalliere SDFix und lösche den Ordner, der müsste bei C:\Alle Programme sein

mach aber erst mal das in meinem vorvorlezten Post mit den ganzen Antirootkits

AVIRA: BLACKLIGHT: Beim Andern kommt "Operating System not supportet"

Und Gmer hab ich ja schon gemacht...

EDIT:\\ Es wurde nichts gefunden. ;)

Was ist mit Panda? den Gmer Logfile würde ich trotzdem gerne sehen.

http://www.file-upload.net/download-1491060/fgh.log.html

War auf Panda bezogen. ;)

Lass mal das bei Virustotal auswerten:
ich muss sagen bis jetzt gibt es noch keine Lösung für TR/Crypt.XPACK.Gen

EDIT:
drücke die Windows Taste und R gleichzeitig
dann gibst du regedit.exe ein und dann OK
es erscheint ein Fenster oben auf bearbeiten dann suchen...
dann suchst du nach server.exe
dann sagst du mir was gefunden wurde

Vielleicht habe ich ihn, indem ich diese eine .exe gelöscht habe, entfernt?

vllt habe ich ja sowas? Also nen Fehlalarm? KLICK

http://www.virustotal.com/de/reanalisis.html?525c10f6a3d96e24ea79455b44e2c80e

Hab ich auch schon gelesen, aber die empfehlen Spybot und lassen den HJT online auswerten. Aber eine Lösung haben die auch nicht.

drücke die Windows Taste und R gleichzeitig
dann gibst du regedit.exe ein und dann OK
es erscheint ein Fenster oben auf bearbeiten dann suchen...
dann suchst du nach server.exe
dann sagst du mir was gefunden wurd


aber SDFix wird blockiert

Hier noch server.exe Dingenskirchen.