TR/Crypt.ZPACK.Gen
 

Hallo,
ich habe das Problem, dass mein AntiVir in der Datei C:\WINDOWS\system32\tdlcmd.dll den Trojaner TR/Crypt.ZPACK.Gen findet. Wenn ich diesen lösche kommt die Meldung allerdings nach einiger Zeit wieder.

Ich bekomm den Trojaner einfach nicht los. Im Internet hab ich nur Fälle gefunden, in denen zwar die gleiche Datei infiziert war, allerdings mit einem anderen Trojaner.

Ich hoffe mir kann jemand helfen.

Hier sind noch die Logs, die ich bisher beim Scannen bekommen habe:

Malwarebytes Anti Malware (mbam.txt)



RSIT (info.txt)



RSIT (log.txt)

Hallo und :hallo:

Du hast da wahrscheinlich eine TDL3-Infektion, bitte GMER ausführen, notfalls im abgesicherten Modus.

Wenn ich die exe ausführe kommt nach wenigen Sekunden die Fehlermeldung:

***.exe (je nachdem welcher name generiert wurde) hat ein Problem festgestellt und muss beendet werden. Anschließend kommt ein Bluescreen.

Im abgesicherten Modus kommt die gleiche Meldung nur ohne anschließenden Bluescreen.

Ich hoffe mir kann dennoch geholfen werden ;)

Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.


Danach:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

Habe das Programm ausgeführt allerdings blieb der Pc beim Neustart im Windows-Ladebildschirm hängen. Der Ladebalken lief endlos lang weiter aber nichts passierte. Nach einiger Zeit hab ich den Pc nochmal im abgesicherten Modus gestartet. Anschließend ließ er sich auch wieder normal starten.
Hier der Log der mir ausgegeben wurde:

MFG Yesterday

Ok, weiter gehts mit Combofix, das Tool ist endlich wieder online:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hab alles durchgeführt wie beschrieben jedoch kam es vielleicht zu zwei "Zwischenfällen". Ich weiß nicht wie schlimm das war aber ich schreibs einfach mal mit rein.

Während des Scannens hat combofix mir zwei mal den PC rebootet und dadurch sind natürlich alle möglichen Programme gestartet, welche ja eigentlich geschlossen sein sollten. Zudem ist dadurch mein AntiVir angegangen und hat einmal dazwischengefunkt.

Hier der Log:

Das Teil meinte ich. Combofix erleichtert einem da die Arbeit etwas. Du müsstest GMER jetzt ohne probleme ausführen können. Mach auch bitte nochmal einen Scan mit Malwarebytes, da das Rootkit jetzt (hoffentlich) entfernt ist, könnte es noch mehr entdecken.

So, hier ist schonmal der mbam-log

gmer kann ich leider immer noch nicht durchlaufen lassen. Es kommt der gleiche Fehler allerdings ohne den Bluescreen anschließend.

MFG Yesterday

Hast Du auch alle Programme vorher geschlossen? Auch ZoneAlarm, Virenscanner, Spybot Teatimer?



i.) Von GMER gibt es ein spezielles Tool um den MBR (Master Boot Record) zu prüfen, der MBR wird zB auch vom Sinowal manipuliert. Die MBR.exe sollte aus der Konsole ausgeführt werden, also zB so: Die mbr.exe liegt direkt auf C:, dann öffnest Du über Start, Ausführen cmd.exe (schwarze Konsole öffnet sich) und dort tippst Du ein:

c:\mbr.exe -f

Und bestätigst mit Enter. Die Logdatei vom MBR-Tool findest Du im gleichen Pfad, von der die mbr.exe ausgeführt wurde, im obigen Beispiel c:\mbr.log - das bitte öffnen und den Inhalt hier posten.




ii.) Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (die *** mit Deinem Benutzernamen wieder ersetzen!!)

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Ja ich hatte alles ausgemacht bevor ich gmer gestartet habe.
Auch im abgesicherten Modus ging es nicht.

mbr.log:


Combofix-Log

Sehr schön. Wenn nun keine Auffälligkeiten mehr sind, bitte unbedingt die Updates prüfen:


Windows-/Internet Explorer Update
Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Vista-User: Anleitung Windows-Update
Es geht v.a. ums SP3 und den IE8, auch wenn Du ihn nicht nutzt.

Adobe Acrobat Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Wir empfehlen daher, die alte Version über Systemsteuerung => Software zu deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Starte den Rechner neu und downloade den aktuellen Acrobat-Reader herunter und installiere ihn.

Falls Dir der Adobe Acrobat Reader nicht gefällt, kannst Du alternativ auch Foxit PDF Reader installieren. Er ist "schlanker" und benutzt weniger Resourcen.

Prüf bei der Gelegenheit auf der Adobeseite auch, ob der Flashplayer aktuell ist! (beim McAfee-Gedöns Haken rausnehmen, ist völlig unnötig!)

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Vielen Dank für die Hilfe.
Es funktioniert wieder alles ohne Probleme und ich bekomme keine Meldungen mehr!

Super Hilfe.

MFG Yesterday