Hallo Andreas,

Antivir zeigt mir leider immer noch, dass er den TR/Crypt.ZPACK.Gen findet.

Ich habe in c:\programme mal nachgeschaut. Das scheint ein plugin für Nero zu sein. Nero musste ich gestern installieren, damit ich wenigstens meine Fotos sichern/brennen konnte. Ich habe halt alles installiert, was auf der CD (eine Kopie) drauf war. Warum das nun GoldEsel heisst, weiss ich nicht???

Gruss
Mel

Zitat:

Antivir zeigt mir leider immer noch, dass er den TR/Crypt.ZPACK.Gen findet.

Welche Datei? Welcher Pfad?

Zitat:

Das scheint ein plugin für Nero zu sein.

Nein, ist es nicht.

Zitat:

weiss ich nicht???

Ist das eine Original-CD oder eine gebrannte?

ciao, andreas

Hallo Andreas,

Zitat:

Welche Datei? Welcher Pfad?

TR/Crypt.XPACK.Gen C:\WINDOWS\system32\x

TR/Crypt.XPACK.Gen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\832HIHO01\nbekje[1].gif

TR/Crypt.XPACK.Gen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0TCDKB8B\vapwbz[1].png

TR/Crypt.XPACK.Gen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0TCDKB8B\vapwbz[1].png

TR/Dropper.Gen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\832HIHO1\dwxmncfs[1].gif

Zitat:

Nein, ist es nicht.

Ich kenn mich mit solchen Dinge überhaupt nicht aus, aber wenn ich auf c programme in diesen Ordner gehe, dann steht da: Ahead Nero Burning Rom Plugin

Zitat:

Ist das eine Original-CD oder eine gebrannte?

Das was ich gestern installiert habe, befindet sich alles auf einem Rohling.

Gruss
Mel

Dann Standardprogramm. Klicke auf den Link "Für alle Neuen" und arbeite die Liste unter Punkt 2 ab. HJT-Log brauchst du nicht. Anschliessend lasse SuperAntiSpyware laufen und poste das Log.

ciao, andreas

Hallo Andreas,

also:

a) CCleaner ausgeführt

b) Malwarebytes ausgeführt
Logfile:
Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1910
Windows 5.1.2600 Service Pack 2

29.03.2009 17:10:58
mbam-log-2009-03-29 (17-10-58).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 92554
Laufzeit: 10 minute(s), 27 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{60debc00-bfc0-4433-9c0e-eb825843550c}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.133,85.255.112.177 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\antiwpa.dll (Trojan.I.Stole.Windows) -> Quarantined and deleted successfully.

c) brauche ich ja nicht

d) Liste installierter Software hab ich nun auch mal ausgelassen, da ja HJT

------------------------------------------------------

Die Auswertung von SuperAntiSpyware:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 03/29/2009 at 05:44 PM

Application Version : 4.26.1000

Core Rules Database Version : 3816
Trace Rules Database Version: 1773

Scan type : Complete Scan
Total Scan Time : 00:22:40

Memory items scanned : 355
Memory threats detected : 0
Registry items scanned : 4188
Registry threats detected : 0
File items scanned : 32241
File threats detected : 1

Trojan.Agent/Gen-ImageDocFake
C:\DOKUMENTE UND EINSTELLUNGEN\NETWORKSERVICE\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\0TCDKB8B\KEGOEMW[1].GIF





Leider hab ich's verbummelt, das gefundene Objekt in Quarantäne zu verschieben. Somit ist dieses wohl nicht 'eingefangen' (sorry für meine laienhafte Ausdrucksweise).


AntiVir hat mir zwischendurch weitere Meldungen gebracht, wegen des TR. Mittlerweile auch in anderen Verzeichnissen als in denen, die ich im vorigen Post angegeben habe.
Ich bin jetzt wirklich schon fast am Weinen. So viele Stunden wie in den letzten 3 Tagen habe ich im ganzen Jahr 2008 nicht am PC verbracht, und ich kann so langsam nimmer.
Ich bin ja fast schon so weit, dass ich mich damit abfinde, alle Daten abzuschreiben, und die komplette Platte formatiere.

Aber vielleicht gibt es ja noch eine kleine Hoffnung?

Gruss
Mel

Die Liste der installierten Programme benötige ich dringend, bitte nachliefern.

Lege vor dem Scan die CD ein, mit der du Nero installiert hast und lasse sie auch scannen. Ich befürchte, dass du den Schädling selbst installiert hast.

Kaspersky Online Scan

Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten.

• Kaspersky Online Scanner
  • Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
  • Java muss installiert, aktiv und erlaubt sein.
  • Bebilderte Anleitung von sundavis.
  • Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
  • Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
  • Die Datenschutzerklärung akzeptieren.
  • Programm installieren lassen.
  • Update der Signaturen installieren lassen.
  • Wenn der Status "Complete" ist,
  • Scan-Einstellungen (Settings) Standard lassen
  • Links den Link "My Computer" anklicken.
  • Scan beginnt automatisch.
  • Wenn der Scan fertig ist, auf "View scan report" klicken,
  • "Save report as" und Dateityp auf .txt umstellen,
  • und auf dem Desktop als Kaspersky.txt speichern.
  • Logdatei hier posten.
  • Deinstallation ist nicht nötig, alle Dateien werden in temporären Ordnern gespeichert.

ciao, andreas

Hallo Andreas,

der Scan hat länger gedauert, als erwartet. Erst musst ich noch Java runterladen, damit Kaspersky überhaupt läuft. Dann blieb der Scan bei 81% hängen, da meine Internetverbindung eingefroren ist.

Wegen dem Nero - das Problem bestand ja schon, bevor ich dieses Nero installiert habe. Ich bin mir sicher, dass das Programm vorher (also bevor ich vorgestern XP neu installiert habe) nicht drauf war. Ich hab das ja nur draufgemacht, um meine Fotos vom Laufwerk e zu sichern. Der Ärger begann ja schon vorgestern.

So, hier aber folgendes:

a) Liste der installierten Programme (HJT):
Adobe Photoshop 7.0
Adobe Reader 8.1.3 - Deutsch
Aureon 5.1 Fun ControlPanel
Aureon 5.1 PCI
Avira AntiVir Personal - Free Antivirus
Canon iP1600
CCleaner (remove only)
EVEREST Home Edition v2.20
Hardcopy (D:\HardCopy_Tool)
HijackThis 2.0.2
K-Lite Codec Pack 4.7.5 (Full)
Malwarebytes' Anti-Malware
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft Office XP Professional mit FrontPage
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Mozilla Firefox (2.0.0.20)
Mozilla Thunderbird (2.0.0.21)
NVIDIA Drivers
SUPERAntiSpyware Free Edition


b) Kaspersky Online Scan:
--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7 REPORT
Sunday, March 29, 2009
Operating System: Microsoft Windows XP Professional Service Pack 2 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Sunday, March 29, 2009 19:18:29
Records in database: 1984838
--------------------------------------------------------------------------------

Scan settings:
Scan using the following database: extended
Scan archives: yes
Scan mail databases: yes

Scan area - My Computer:
A:\
C:\
D:\
E:\
F:\
G:\

Scan statistics:
Files scanned: 34333
Threat name: 2
Infected objects: 4
Suspicious objects: 0
Duration of the scan: 00:38:09


File name / Threat name / Threats count
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\23O7ER25\krbz[1].png Infected: Net-Worm.Win32.Kido.ih 1
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\832HIHO1\ntmomp[1].gif Infected: Net-Worm.Win32.Kido.ih 1
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KREPETIR\mkcav[1].gif Infected: Net-Worm.Win32.Kido.ih 1
C:\Qoobox\Quarantine\C\WINDOWS\system32\roekw.dll.vir Infected: Net-Worm.Win32.Kido.ih 1

The selected area was scanned.



Gruss
Mel

Welcher Laufwerksbuchstabe ist dein CD-Laufwerk?

Falls du dich nicht über externe Quellen infiziert hast, dann wohl übers Internet. SP2 Keine Updates Grob fahrlässig.

Also grob geschätzt wird noch etwa die vierfache Zeit auf dich zukommen, um das zu besiegen. Deshalb würde ich dir doch vorschlagen lieber neuaufzusetzen. Das ist schneller. Allerdings warte ich auf deine Entscheidung. Denn wenn du es falsch machst, dann ist es vergeblich, wie beim letzten Mal.

ciao, andreas

Hallo Andreas,

mein Laufwerk ist unter g.

Das vierfache an Zeit?
Ich glaube nicht, dass ich das durchstehe. Durch diese Misere ist hier alles andere seit Donnerstag liegengeblieben, und ich selbst bin mit den Nerven am Ende.

Da ich mich seelisch und moralisch ja eh schon damit abgefunden habe, dass ich die ganze Festplatte formatieren muss, wäre ich Dir dankbar, wenn Du mir mitteilen könntest, wie ich das am geschicktesten anstelle, ohne dass es - wie Du schon erwähnt hast - nicht wieder umsonst ist.

Also wie das Formatieren funktioniert weiß ich. Nur bin ich mir nicht sicher, was ich an Daten alles mitnehmen kann, ohne dass das Szenario wieder von vorn anfängt. Die Bilder auf Laufwerk e habe ich gestern schon gesichert. Ich hoffe, dass ich mir da keinen Wüstling mitgebrannt habe.

LG
Mel

Wichtig ist die Reihenfolge.

1.) Lade dir Service Pack 3
2.) Lade dir Internet Explorer*7 - Übersicht
3.) Packe beide Dateien auf ein anderes Laufwerk z.B. D: oder E:
4.) Trenne die Verbindung zum Internet (Stecker ziehen)
5.) Installiere neu (Laufwerk C: formatieren reicht, Conficker geht nur aufs BS los).
6.) Spiele SP3 drauf.
7.) Spiele MSIE7 drauf.
8.) Stelle die Verbindung zum Internet wieder her.
9.) Besuche umgehend mit dem MSIE Microsoft Windows Update und führe alle Updates durch.
10.) Installiere erst dann einen Virenscanner und halte deine Software aktuell.

ciao, andreas

Hallo Andreas,

ich danke Dir für die Zeit und Hilfe die Du mir stundenlang entgegengebracht hast!

Ich werde c dann nach Deiner Checkliste formatieren und XP neu aufspielen. Allerdings erst morgen, denn ich bin für heute wirklich total fertig und möchte nur noch die Augen zu machen.

Und Du bist Dir wirklich ganz, ganz sicher, dass es damit getan ist, nur c zu formatieren und ich die anderen Partitionen beibehalten kann? Gut, auf e ist sowieso nichts mehr - da waren ja meine Bilder drauf.

Ein Auszug aus dem AntiVir Log von gestern (Foreneintrag 15:16 Uhr) bereitet mir da nämlich bissl Kopfschmerzen:

Zitat:

Beginne mit der Suche in 'D:\' <Programme>
D:\RECYCLER\S-3-3-73-100015924-100011358-100027749-5245.com
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde nach 'S-3-3-73-100015924-100011358-100027749-5245.com.VIR' umbenannt!
D:\RECYCLER\S-4-7-89-100000337-100013843-100005696-8740.com
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde nach 'S-4-7-89-100000337-100013843-100005696-8740.com.VIR' umbenannt!
D:\RECYCLER\S-5-9-38-100008250-100006669-100025632-3543.com
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde nach 'S-5-9-38-100008250-100006669-100025632-3543.com.VIR' umbenannt!
D:\RECYCLER\S-7-6-29-100016293-100014711-100002589-2573.com
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde nach 'S-7-6-29-100016293-100014711-100002589-2573.com.VIR' umbenannt!
D:\System Volume Information\_restore{5BDCD589-A0A7-4629-9842-1808EBCD5813}\RP1\A0000045.com
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde nach 'A0000045.com.VIR' umbenannt!
D:\System Volume Information\_restore{5BDCD589-A0A7-4629-9842-1808EBCD5813}\RP1\A0000046.com
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde nach 'A0000046.com.VIR' umbenannt!
D:\System Volume Information\_restore{5BDCD589-A0A7-4629-9842-1808EBCD5813}\RP1\A0000047.com
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde nach 'A0000047.com.VIR' umbenannt!
D:\System Volume Information\_restore{5BDCD589-A0A7-4629-9842-1808EBCD5813}\RP1\A0000048.com
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde nach 'A0000048.com.VIR' umbenannt!

Gerne melde ich mich morgen wieder, und wünsche vorab eine angenehme Nachtruhe!

LG
Mel

Das eine ist der Papierkorb, das andere die Systemwiederherstellung. Beide sind einfach zu reinigen (vor der Neuinstallation).

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

2.) http://www.trojaner-board.de/51464-a...-ccleaner.html

Danach ist alles weg. Nach der Neuinstallation nochmal die anderen Laufwerke scannen, bevor du auf die Daten zugreifst, aber das eilt nicht.

ciao, andreas

Hallo Andreas,

wie versprochen, melde ich mich zurück.

Aaaalso: nach telefonischer Rücksprache mit meinem Mann bin ich heute mittag los, und habe noch eine XP Home Edition gekauft. Wie schon erwähnt, hat mein Mann die Original CD auf seinem Laptop.
Da dieser PC, von dem ich jetzt schreibe, und welcher halt infiziert war, in die Obhut unserer Tochter geht, wenn sie im Sommer auszieht, gehen wir nun auf Nummer sicher, und haben eben eine neue ''Lizenz'' gekauft.
Ob das nun nötig war, oder nicht, das wissen wir nicht. Die ganze Chose hat 99 EUR gekostet. Weiß nicht, ob das nun Wucher ist. Ich war beim M*M*, und habe dort die Home Edition mit SP3 dafür bekommen.

Mit diesem neuen Betriebssystem habe ich dann all Deine beschriebenen Schritte befolgt, habe brav die Version telefonisch bei MS aktiviert, alle Updates runtergeladen, SP3 war ja auf der CD schon drauf - und siehe da: Das System scheint nun sauber zu sein. Jedenfalls findet mein Virenscanner überhaupt gar nichts mehr.

Ich danke Dir für Deine Hilfe! Auch wenn's vielleicht wünschenwert gewesen wäre, den Störenfried anders (manuell) zu eliminieren. Aber egal nun.

Könntest Du mir vielleicht für die Zukunft die wichtigsten Sachen nennen, mit denen wir uns in Zukunft Internet-mäßig schützen können? Soll heißen: Welchen Virenscanner hältst Du persönlich für am wirksamsten? Welche Programme brauche ich standardmäßig? CCleaner? Malwarebytes? AdAware? TrojanRemover? Kaspersky? AviraAntivir? etc?

Sorry für den langen, langen Text!

Gruss
Mel

Zitat:

und habe dort die Home Edition mit SP3 dafür bekommen.

Das war ein Fehler.

Code: Alles auswählenAufklappen

ATTFilter

Shopping-Ergebnisse für xp home editionMicrosoft Windows XP Home Edition w/SP3 - 1 PC	€214 bis €284 - 103 Shops
Microsoft Windows XP Home Edition w/SP2b - 1 PC	€64 bis €87 - 10 Shops
Microsoft Windows XP Home Edition w/SP2 - 1 ...	€0,99 - 1 Shop
         

Zitat:

Auch wenn's vielleicht wünschenwert gewesen wäre, den Störenfried anders (manuell) zu eliminieren.

Wenn die Zeit für eine Reinigung das mehrfache einer Neuinstallation benötigt, dann macht es nicht wirklich Sinn.

Zitat:

Könntest Du mir vielleicht für die Zukunft die wichtigsten Sachen nennen, mit denen wir uns in Zukunft Internet-mäßig schützen können?

Brain.exe reicht aus. Mehr benutze ich auch nicht. Hier wird üblicherweise die Kombination Avira/MalwareBytes angeraten. Ich halte mehr davon: http://www.trojaner-board.de/412719-post32.html

Du bist das beste Beispiel. Das Update, das dir Conficker vom Hals gehalten hätte ist mehr als 5 Monate alt. Hättest du dich an die Regeln gehalten (Software aktuell halten), dann wäre dir nichts passiert.

CCleaner ist ein sinnvolles Programm. Ansonsten schützt Brain.exe am wirkungsvollsten, kann aber durch Avira/MalwareBytes ergänzt werden.

ciao, andreas

Hallo Andreas,

Zitat:

Das war ein Fehler.

Code: Alles auswählenAufklappen

ATTFilter

Shopping-Ergebnisse für xp home editionMicrosoft Windows XP Home Edition w/SP3 - 1 PC	€214 bis €284 - 103 Shops
Microsoft Windows XP Home Edition w/SP2b - 1 PC	€64 bis €87 - 10 Shops
Microsoft Windows XP Home Edition w/SP2 - 1 ...	€0,99 - 1 Shop
         

Muss ich mich jetzt 'ne Runde ärgern? Ja, wahrscheinlich
...aber es ist jetzt egal. Ich war nun 4 Tage am Stück im Dauerstress wegen dem Krempel, und hatte nun nicht noch Zeit und Lust in Online-Shops rumzusuchen und dementsprechend auf Päckchen zu warten bis die Kiste wieder läuft.

Zitat:

Brain.exe reicht aus.

Hehe, ok. Ich werd's mir merken. Wobei mir Brain.exe ja nun nicht gesagt hat, woher ich den ganzen Krempel nun gekriegt hab. Das wäre schon von Vorteil - aber Brain.exe ist ja auch nicht allwissend. Wäre schön, wenn Brain.exe in allen Lebenslagen schützen würde. Aber OK....dieses 'Programm' benutzt man ja auch BEVOR das Kind in den Brunnen gefallen ist. Wenn's doch nur so einfach wär.... ;-)

Zitat:

Du bist das beste Beispiel. Das Update, das dir Conficker vom Hals gehalten hätte ist mehr als 5 Monate alt. Hättest du dich an die Regeln gehalten (Software aktuell halten), dann wäre dir nichts passiert.

Hätte, hätte - Fahrradkette.....
Vielleicht sollten sich dann andere, die diesen Thread lesen, ein Beispiel daran nehmen. In Zukunft bin ich nun auch vorsichtiger (i.e. ich werde brav meine Software aktuell halten)

Danke für Deine Hilfe, Andreas!!
Ich wünsch Dir und den anderen Helfern auf dem Board noch eine schöne Nacht, und vielleicht schreibt man sich ja mal wieder?

GvlG
Mel