Trojaner TR/Crypt.XPACK.Gen3 eingefangen | Sicherheitscenter deaktiviert sich automatisch
 

Hallo liebes Trojaner-Board-Team.
Ich bin neu hier, also erstmal "Hallo" an alle und schonmal im Vorraus ein Dankeschön, dass ihr hier unwissenden Menschen wie mir tatkräftig zur Seite steht und helft den Computer wieder schädlingsfrei zu machen.

Ich habe mir letzte Woche den Trojaner Crypt.XPACK.Gen3 eingefangen, das hat mir AntiVir gemeldet.
Daraufhin habe ich meinen Laptop abgebaut und ihn zu einem Kollegen meines Vaters gebracht, der sich mit solchen Sachen etwas bessser auskennt.
Dieser hat ihn dann versucht zu bereinigen (mit irgend einem Programm was unter Linux ausgeführt wurde, den Namen weiß ich allerdings nicht) und mir statt AntiVir avast! und Malwarebytes installiert.
Jetzt ist der Laptop wieder bei mir und ich musste feststellen, dass sich das Sicherheitscenter weiterhin selbstständig deaktiviert, auch wenn man es vorher unter "Dienste" aktiviert hat. Beim Windows Defender verhält es sich ebenso.
Bis dieser Kollege sich den Laptop angeschaut hatte, waren auch noch die Minianwendungen defekt (in der Registry hat sich immer wieder ein Eintrag über der 0 in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ Zones\ festgesetzt)
Dieser Fehler tritt nicht mehr auf.


Ich habe jetzt einen Scan mit OTL gemacht und poste noch die Log-Files von den Malewarebytes-Scans.

Ich hoffe bis hier hin habe ich alles richtig gemacht und mich an eure Regeln gehalten.

LG Robert

hallo und :hallo:

Von wo hast du diese malwarebytes-Version?

Hey,
danke erstmal fürs Willkommen heißen.
Wiegesagt, das hat ein Kollege von meinem Vater drauf gemacht (wir haben eine Computerfirma).

Und warum gibt es dann kein Support von der Firma? Zum Tool reicht es, aber dann?
Sry für die Nachfragen, aber ich versuch ein wenig Hintergrundinfos zu bekommen ;)

Naja ich studiere auswärts und bin nur am Wochenende daheim, da ist die Kommunikation schon etwas schwieriger und außerdem denke ich, dass ihr dafür eher die Spezialisten seid :-)
Der Mitarbeiter hat ja schon bissl was gemacht, aber anscheinend nicht alles runter bekommen.

Vllt hättest du auch mal die Güte zu beschrieben was er gemacht hat.
Einen halb zerfrickelten Rechner hier nochmal analysieren lassen, meinst du echt der Zeitaufwand lohnt sich? Was ist mit der sauberen Lösung: Datensicherung plus Neuinstallation des OS? :pfeiff:

mehr weiß ich leider auch nicht.
Ich dachte halt es gibt ein Schema F was es nacheinander auszuführen gilt um festzustellen, ob oder wie stark die Infizierung ist.
Ich habe vorher in dem Thread "Malware gefunden und entfernt - Sicherheitscenter deaktiviert sich automatisch " gelesen und da klang das alles so eindeutig.
Wenn du mir jetzt allerdings sagst, eine Neuauflegung des Systems wäre das sinnvollste, mache ich das natürlich so.

LG Robert

Naja, man kann eine weitere Bereinigung natürlich noch machen. Sicherer/besser ist natürlich eine Neuinstallation, hat aber den Nachteil, dass du danach den Rechner neu einrichten muss, also alle Programme/Treiber installieren, Daten aus dem Backup restoren etc. pp.

Entscheide dich entweder für das eine oder andere.

Ich würde gerne unter deiner Anleitung eine weitere Bereinigung vornehmen. ;)

Wie du wünscht ;)
Bevor du aber weitere Schritte zur Entfernung machst, stell sicher, dass alles relevante auf externe Medien (DVD, ext. Festplatte, whatever) gesichert ist. Dann kannste hiermit loslegen:

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hey, hier das Logfile.
Ich bin übers Wochenende nicht da, also wird es etwas dauern, bis ich wieder antworten kann. Nur, damit du Bescheid weißt :)
Danke schonmal bis hier her!

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Grad noch so vorm Schlafengehen fertig geworden :)
Gute Nacht!

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Alsoooo... :)


MBR Check