Hallo Leute!

Avira AntiVir hat auf meinem Laptop den Trojaner TR/Crypt.XPACK.Gen3 festgestellt. Als Ursache wird die Datei C:\Users\***\AppData\Local\Temp\eapp32hst.dll angegeben.

Allerdings kann dieser weder in Quarantäne verschoben noch gelöscht werden.
CCleaner hat auch nicht geholfen.
Nun will ich Malwarebytes und OTL-systemscan durchlaufen lassen.
Jedoch hat Windows gemeldet, dass Personen versuchen auf meine Passwörter zuzugreifen. Wie in eurem Forum beschrieben brauchen diese Programme Updates, für welche ja ein Internetzugang benötigt wird. Ich habe aber Bedenken ins Internet zu gehen weil ich nicht will, dass jemand meine PW bekommt! Kann ich dies ohne Sorgen tun oder sollte ich Vorbereitungen treffen?

Was auch äußerst seltsam war und euch bei eurer Hilfe evtl. weiterhilft:
Beim erneuten Hochfahren des Laptops waren 2 Pornos und die Dateien "troj200", "spam001" und "spam003" auf dem Desktop. Da niemand auf meinen Laptop Zugriff hatte und ich diese nicht heruntergeladen habe, frage ich mich wie sie da hingekommen sind?

Vielen Dank für eure Hilfe im voraus!
lg

Hi,

wahrscheinlich ist es eher die Fakeware die versucht Dich zu ver... .
Im Ernst: Bei der Datei "eapp32hst.dll" handelt es sich im "normalfall" um gefälschten Scan-Software (Rogue-Malware) die einen Befall vortäuscht um den unbedarften User zum Kauf einer absolut nutzlosen und dazu noch schädlichen SW zu "überreden". Ich denke daher, dass das Update nur dazu dient, Dir weitere Malware unterzuschieben!
Die Dateien hat Dir die Fakeware untergeschoben, um einen Befall glaubwürdig vorzutäuschen!

Auf keinem Fall dem Update zustimmen, unbedingt MAM laufen lassen (das sollte die "FakeAV" erkennen und beseitigen).
Danach sofort ein OTL-Log mit dem Log von MAM posten!


Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe

• Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

• Unter Extra Registry, wähle bitte Use SafeList

• Klicke nun auf Run Scan links oben

• Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

• Poste die Logfiles hier in den Thread

chris

Hallo Chris!
Vielen dank für deine Hilfe. Die Fehlermeldungen kommen jetzt nicht mehr.

Allerdings wollte ich den OTL bericht hier nicht posten, da er 17 seiten lang ist.
Des weiteren erscheint beim Neustart die Fehlermeldung, dass die Datei
C:/Users/***/AppData/Local/olizofaneyafis.dll nicht geladen werden kann.
Ist das bedenklich?

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4800

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

12.10.2010 16:27:39
mbam-log-2010-10-12 (16-27-39).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 163096
Laufzeit: 7 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\Users\***\AppData\Local\inwmlrxi.dll (Trojan.Hiloti) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\chacuvurovilox (Trojan.Hiloti) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dfrgsnapnt.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wsomawogepukogib (Trojan.Agent.U) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{eca851e4-3cd2-7efa-803a-3bf2417be037} (Trojan.ZbotR.Gen) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\24d1ca9a-a864-4f7b-86fe-495eb56529d8 (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\***\AppData\Local\inwmlrxi.dll (Trojan.Hiloti) -> Delete on reboot.
C:\Users\***\AppData\Local\Temp\dfrgsnapnt.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\***\AppData\Local\olizofaneyafis.dll (Trojan.Agent.U) -> Delete on reboot.
C:\Users\***\AppData\Roaming\Uzapa\zoipe.exe (Trojan.ZbotR.Gen) -> Quarantined and deleted successfully.

War die Vermutung mit dem FakeTrojaner also richtig?

Lg

Hi,

die wurde von MAM "eleminiert" und steht aber noch im Systemstart...

Zitat:

C:\Users\***\AppData\Local\olizofaneyafis.dll (Trojan.Agent.U) -> Delete on reboot.

MAM bitte updaten und im Fullscan nochmal über die Platte jagen!

Lades das OTL-Log hier hoch
Fileuplod:
File-Upload.net - Ihr kostenloser File Hoster!, hochladen und den Link (mit Löschlink) als "PrivateMail" an mich...

chris