AVIRA AntiVir findet TR/Crypt.XPACK.Gen3 und TR/Spy.399872.36
 

Hallo zusammen,

wir hatten bis Herbst G DATA InternetSecurity SE auf unserem Vista PC. Die Lizenz lief aus und nun läuft AVIRA AntiVir (aktuell Version 10.0.0.635). Seither haben wir immerwieder Probleme mit Virenfunden: TR/Crypt.XPACK.Gen3, TR/Crypt.XPACK.Gen und neuerdings TR/Spy.399872.36
Internet ist meistens sehr langsam.

Ich habe inzwischen Malwarebytes AntiMalware und OTL runtergeladen und durchgeführt.
Ersteres hatte auch etwas gefunden (irgendwas von Anbieter Trojan.Dropper), dann habe ich Gefundenes gelöscht (Computer derweil noch nicht runtergefahren) und die Log-Datei angeschaut. In der Liste der Logdateien stand eine mbam-log- Datei. Habe das Programm geschlossen und OTL durchgeführt damit ich alles habe für den Beitrag. Und nun, ich will die mbam-log-Datei hochladen ... ist sie weg! Obwohl "Log-Datei nach dem Scan automatisch speichern" angekreuzt ist. Verstehe ich nicht! Kann die Datei noch irgendwo stecken? Entschuldigt meine Dummheit.

Logdateien von OTL und AntiVir sind angehängt.

Schonmal Danke für Infos. Bin leider absoluter Laie, sorry!

nobody63

Bitte auch davon alle Logs posten!!

Hallo Arne,

danke für die prompte Antwort.

Ich habe alles von OTL gepostet. Die mbam-log-Datei von AntiMalware ist leider nichtmehr auffindbar.

Grüße,
nobody63

Habe jetzt AntiMalware nochmal ausgeführt.

Das kam dabei raus:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6130

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19019

22.03.2011 17:01:46
mbam-log-2011-03-22 (17-01-46).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 122483
Laufzeit: 3 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Wie schon gesagt: Heute mittag hatte das Programm was gefunden; das hatte ich dann aber gemäß Anleitung entfernt und die Log-Datei davon ist leider weg.

Gruß,
nobody63

Wieso soll die weg sein? Sieh nach im Reiter Logdateien von Malwarebytes!
Alle Logs posten, die da zu sehen sind!

Hab die Datei doch gefunden. War bei PC-Besitzer. 'Tschuldigung!

Also hier:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6130

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19019

22.03.2011 10:37:55
mbam-log-2011-03-22 (10-37-55).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 175703
Laufzeit: 7 Minute(n), 9 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\User\AppData\Local\Temp\0.463078906258758.exe (Trojan.Dropper) -> Quarantined and deleted successfully.



Gruß,
nobody63

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Hallo Arne,

der Vollscan hat nichts gefunden. Log wie folgt:


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6130

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19019

22.03.2011 20:20:15
mbam-log-2011-03-22 (20-20-15).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 306565
Laufzeit: 1 Stunde(n), 18 Minute(n), 2 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)




Vollständigkeitshalber noch eine Antivir Log-Datei vom 4.2.2011 mit 12 Funden, zwei andere waren gezipt für den Anhang trotzdem zu groß.

Gruß,
nobody63

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Habe gerade CCleaner installiert.

Zu den Markierungen vor "Analysieren" eine Frage: Bei "Windows" habe ich die Häkchen geprüft; bei "Anwendungen" ist auch alles mögliche aktiviert (Adobe FlashPlayer, Quicktime Player, Macromedia Shockwave, Antivir Desktop, 7-Zip, Google Toolbar, RegEdit, Winamp, Windows Mediaplayer, Windows Defender, Spybot Search & Destroy). Soll das so sein; ist das dann alles weg?


Gruß,
nobody63

Eigentlich ja. Nur bei den Browsern musst du aufpassen, der Ccleader haut auch alle gespeicherten Passwörter, die Chronik usw. raus bei entsprechender Setzung der Häkchen!

Guten Morgen Arne,

also ich lass dann die Häkchen bei allen Anwendungen und schau was passiert.

Gruß,
nobody63

Hallo Arne,

ich melde mich von meinem Notebook aus.

Combofix ist gelaufen. Datei ist angehängt.

Problem: Wenn ich am PC Firefox oder IE (andere Programme auch) starten möchte kommt eine Fehlermeldung " ..... Es wurde versucht, einen Registrierungsschlüssel einem unzulässigen Vorgang zu unterziehen, der zum Löschen markiert wurde." Was soll ich da nun tun?

Grüße,
nobody63

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Hier das Log von TDSSKiller.

Gruß
nobody63

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hier schonmal GMER:


GMER Logfile:
--- --- ---

So, nun auch OSAM und MBRCheck!

OSAM:


MBRCheck:

Gruß,
nobody63

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hallo Arne,

so, nun endlich die angeforderten Logs!

Hier das SuperAntiSpyware:

Die anderen kommen gleich!

Das OSAM hatte ich nochmal durchgeführt, weil ich nicht sicher war, ob das gestern alles richtig geklappt hatte.

OSAM:


Und der Vollscann von AntiMalware.

Gruß,
nobody63

Sieht ok aus, da wurden nur Cookies gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Hallo Arne,

ich wollte schon antworten, dass alles okay ist, aber heute hat Antivir wieder was gefunden: Java/Exdoer.Y

Anbei der Schluss vom Antivir Report (die ganze Datei ist zu groß).

Warum findet Antivir 8 Programme und verschiebt aber nur eine Datei in die Quarantäne?

Gruß,
nobody63

Das ist nur was im java-Cache. Leere den mal zB über den CCleaner.

Hallo Arne,

habe neulich den CCleaner laufen lassen. Und nun die vergangenen 2 Tage keine Funde, Internet läuft wie gewohnt. Für mich schaut es jetzt wieder ok aus!

Ist es sinnvoll hin und wieder CCleaner und /oder Malwarebytes Antimalware oder eines der anderen Programme laufen zu lassen?

Grüße,
nobody63

Nö brauchste nicht unbedingt.
Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Hallo Arne,

vielen Dank für die Tips! Habe den Abobe Reader gleich entsorgt und Java auch upgedatet.

Danke auch für die schnelle Hilfe! Ihr macht hier einen super Job!

:dankeschoen:

Ich werde mich hier im Forum öfter mal schlau machen und auf dem Laufenden halten.

Grüße,
nobody63