Hallo zusammen,

ich habe Antivir auf meinem Laptop.
Nach jedem hochfahren findet es TR/Crypt Redol.18432.2.6 bei C:\Windows\System32\..... (Beispiel: C:\Windows\System32\geyekrcrjinpec.dll) also auch manchmal unter verschiedenen namen.
Es kann weder gelöscht noch der Zugriff verweigert werden.
Wenn ich eine komplette Systemüberprüfung mit Antivir machen will, stürtz mein laptop ab. Es erscheint ein Blauer Bildschirm, wo steht : ihr rechner musste aufgrund eines schwerwiedenden fehlers heruntergefahren werden...
Wenn es hochgefahren ist, steht dort, dass windows beschädigt ist und möglicherweise nicht mehr richtig funktioniert.

Ich habe hier und bei google richtig lange durchgelesen und habe auch mit Malwarebytes alles abgecheckt.

Hier das logfile:
Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2525
Windows 6.0.6002 Service Pack 2

29.07.2009 12:18:47
mbam-log-2009-07-29 (12-18-47).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 261584
Laufzeit: 1 hour(s), 0 minute(s), 27 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 2
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b7d3e479-cc68-42b5-a338-938ece35f419} (Adware.SoftMate) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\NetPumper (Adware.NetPumper) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{b7d3e479-cc68-42b5-a338-938ece35f419} (Adware.SoftMate) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Users\Hizbullah\AppData\Roaming\NetPumper (Adware.NetPumper) -> Quarantined and deleted successfully.
C:\Program Files\NetPumper (Adware.NetPumper) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\Users\hizbullah\documents\Download\cryptload\cryptload114\router\fritz!box\nc.exe (PuP.Keylogger) -> Quarantined and deleted successfully.
c:\Users\hizbullah\documents\Download\cryptload\cryptload_1.0.4\router\fritz!box\nc.exe (PuP.Keylogger) -> Quarantined and deleted successfully.


Eine überprüfung mit SUPERAntiSpyware habe ich ebenfalls durchgefürt.
Es wurden 159 Objekt gefunden. Habe alle gelöscht.

Alles ohne erfolg.
Nun habe ich aus verzeiflung Antivir deinstalliert und eine testversion von Kasperski draufgeladen.

Kann mir bitte einer helfen.

Hallo und Herzlich Willkommen!

Zitat:

Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
Eine Neuinstallation garantiert die rückstandsfreie Entfernung der Infektion - Sicherheitskonzept v. SETI@home/Punkt 1.

Falls du doch für die Systemreinigung entscheidest:

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
Ergebnisse von SUPERAntiSpyware bitte auch posten

2.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird GMER beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

3.
Lade und installiere das Tool RootRepeal herunter

- setze einen Hacken bei: "Drivers", "Stealth Objects" und "Hidden Services" dann klick auf "OK"
- nach der Scan, klick auf "Save Report"
- speichere das Logfile als RootRepeal.txt auf dem Desktop und Kopiere den Inhalt hier in den Thread

4.
lade Dir HijackThis 2.0.2 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

5.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

6.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

7.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein log schreibst du:[code]
hier kommt dein logfile rein
→ dahinter:[/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw
gruß
Coverflow

Hallo Killa86,

es gibt ja selbsternannte Spezialisten, die Dich erstmal diverse Programme laden lassen und die ausgeworfenen Log-Dateien anfordern und Dir im Endeffekt dann nicht helfen können.

Du könntest aber auch folgenden Weg gehen um den Plagegeist loszuwerden.

1.) Systemwiederherstellung für die Boot-Festplatte deaktivieren

2.) "Vista PE" von CD starten (das ist ein Hilfsbetriebssystem von Microsoft, gibt es z.B. auf der Service-CD von Computerbild.

3.) Das Windows-Verzeichnis nach " geyekrcrjinpec.* " (in Deinem Fall) durchsuchen lassen.
Es werden meist 4 Dateien im Ordner /System32 gefunden, 1 Datei im Ordner /Driver und diverse Dateien im Ordner /Temp

Alle löschen - das war's !!!

Im normalen Windows-Explorer werden diese Dateien - egal mit welchen Optionen - nicht angezeigt.
Es muss also entweder mit diesem Vista PE oder z.B. mit einem Linux System, das auf Windows-Dateien zugreifen kann, von CD gebootet werden.
Sollte sich der Störenfried weiter auf Deinem PC ausgebreitet haben, kannst Du ihn mit Spybot Search&Destroy aufspüren - löschen musst Du dann manuel, das Tool konnte es bei mit jedenfalls nicht.

Viel Erfolg

@oldie

Zitat:

Zitat von oldie

3.) Das Windows-Verzeichnis nach " geyekrcrjinpec.* " (in Deinem Fall) durchsuchen lassen.
Es werden meist 4 Dateien im Ordner /System32 gefunden, 1 Datei im Ordner /Driver und diverse Dateien im Ordner /Temp

Alle löschen - das war's !!!

glaubst denn dass ist die einzige Datei die Probleme macht?

Zitat:

Zitat von oldie

Ikannst Du ihn mit Spybot Search&Destroy aufspüren - löschen musst Du dann manuel, das Tool konnte es bei mit jedenfalls nicht.

gut dass Du dein Humor noch nicht verloren hast:aplaus:

coverflow


ERST PROBIEREN - DANN MECKERN !!!

@oldie

Du kannst mir glauben, dass ich mit Spybot mehr wie genug Erfahrung habe
- Wenn mal über Live-CD die Rede...wieso nach eine einzelne Datei suchen lassen? Wäre es nicht besser, das ganze System durchsuchen lassen?
Dein Vorschlag...ist nicht mit soviel aufwand zu verbunden?
1.
eine voll funktionstüchtige Live-CD erstellen
2.
nach eine bestimmte Dateiname suchen
3.
noch Spybot installieren lassen
4.
dann doch ist eine manuelle Löschung erforderlich, weil Spybot es nicht schaffen kann?
cool...einfach löschen? Ok, aber wie? Tipps vergessen?!

aber ja, jede weitere Diskussion ist sinnlos, da die Wissensbasis zu unterschiedlich ist

Coverflow

Was nicht sein darf, das kann auch nicht sein !
Mein System ist jedenfalls wieder sauber - ohne Neuinstallation.

Theoretiker wussten schon immer alles besser - nur ständen wir, wenn es nach ihnen gänge, heute technisch nicht da, wo wir sind.

Zitat:

Zitat von oldie

Mein System ist jedenfalls wieder sauber - ohne Neuinstallation.

woher weißt Du es? nur weil dein Antivirenprogramm meckert nicht (mehr) ? und/oder weil Spybot nicht mehr findet?
na dann in diesem Sinne, frohes Surfen

Jungs ich danke für eure Hilfe.

Mein laptop hat nur noch herumgespinnt. Ich konnte kaum noch etwas machen. es kamen nur fehlermeldungen.
Deshalb habe ich alles formatiert und vista neu installiert.

Nun ist alles in ordung.
Können nur hoffen, dass es auch so bleibt.

Kluge Entscheidung

Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus
Informationen, Tipps und Wissenswertes zum Schluss:

Zitat:

Um die PC-Sicherheit zu erhöhen, Tipps-Rat und Hilfe:

• Ein Antivirenprogramm und Firewall (aber richtig konfiguriert Jedes Programm ist nur so gut, wie der Benutzer, das davor sitzt
• Nicht mit vollen Zugriffsrechten als Administrator ins Internet gehen-->eingeschränkten Benutzerkonto
• Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 2-3 Monate ändern)
• Regelmäßige Update für Windows und alle installierte Software (Adobe und Java nicht vergessen!),Treiber(vom Hersteller) etc
• Du kannst mehrere emailadresse verwenden z.B. gmx etc. Deine `haupt-E-Mail-Adresse` sollst du nur bekannte bzw vertrauliche Seite angeben/eintragen. Für andere nutze dann die gratis Webmails.
• Nimm keine Mails von unbekannt an und öffne niemals Datei-Anhänge, wenn sie Dir nicht vorher von deinen Bekannten u. Freunden angekündigt worden sind.
• Sichere eMail Clients z.B. Thunderbird-->Erweiterungen für Mozilla Thunderbird
• Achte auf die Basiskonfiguration des Internet Explorer: Aktive Inhalte prinzipiell auszuschalten. - Sicherheitscheck beim Internet Explorer
• Es gibt gute und sichere Browser z.B. Firefox - (Browser wechsel dich) - FirefoxWiki/Einstellungen - Erweiterungen für Firefox - `Kommen sich der IE und Firefox jetzt nicht dauernd in den Weg...` - Standardbrowser
• Achte darauf, dass du nicht zuviele Prozesse in den System Startup und Dienste nimmst, unnötige Toolbars, sie verlangsamen und belasten nur dein System.
• "Never accept software from strangers" - Installiere grundsätzlich immer nur Programme, die Du auch wirklich benötigst und von denen Du überzeugt bist, dass sie seriös sind.
  NICHT irgendwelche Programme aus dem Netz laden, wenn nicht zu 100% fest steht, dass es sich dabei um saubere Software handelt. Nette Versprechen der Hersteller garantieren noch lange keine einwandfreie Funktionsweise, also vorher blättere die Seiten bei GOOGLE, da kannst Du Dir wertvolle Informationen holen!!!
  also Immer brav aufpassen,nur das NÖTIGSTE installieren,weniger ist oft mehr
• Besonders empfehlenswert (sysinternals - (Windows Sysinternals):
• Autoruns
• Process Explorer
• TcpView
• Mach ein Backup deines Systems, falls mal was schiefgeht, damit du mit eigenen Mitteln schnell und einfach formatieren und neu aufsetzen kannst - Sichern von System, Programmen und Nutzdaten
• Surfverhalten überdenken, "unsichere" Seiten vermeiden,verzichte auf Downloads von unsicheren Seiten, nicht alles anklicken und herunterladen was bunt und glänzt und bei Installationen hinschauen, was "mit"-installiert wird ...
• Vorsicht bei der Nutzung fremder Computer und anschliessbare Externe Speichermedien wie Festplatte, USB Sticks, Speicherkarten usw! - IT-Betrüger machen keinen Urlaub!/bsi-fuer-buerger.de - auch zeitweise anschließen und scannen lassen (sehe unter `kostenlose Online-Viren-Scanner`)

Lesestoff:

• Virenscanner
• BSI für Bürger
• SETI@home -
  [Sicherheit] Sicherheitskonzept
  
• 
  `Die sieben Todsünden beim Surfen` - von Tobias Weidemann/pcwelt.de
  
• Sicherheits-Tipps für den PC
• Schutz durch vorsichtiges Verhalten mit Email und im Internet
• Security | Viren
• Qualifizierter Selbstschutz : 10 Schritte zur Rechnersicherheit
• Die moderne Anti-Virus-Industrie und ihre Problemfelder
• Warum man bei Infektionen den Rechner neu installieren sollte.../malte-wetz.de
• antivirus-test.de - av-comparatives.org AV-Test, wie gut sie aktuelle Schädlinge finden)
• Wie testet man Virenscanner und Firewall?- eicar
• Was tun bei Kompromittierung des Systems?
• ...die Tastatur bedient der User...

Zitat:

Da der Bestand der Datenbank wird täglich ergänzt und erweitert bzw werden mit der aktuellen Virendefinition die Informationen über den betroffenen Virus aufgenommen, empfehle ich dir mindestens einmal pro Woche (später genügt es sicherlich einmal im Monat) dein System Online Scannen lassen (immer mit einen anderen Scanner), um eine zweite Meinung einzuholen
(benutzen meist ActiveX und/oder Java): Kostenlose Online Scanner - Anleitungen

ich wünsche dir alles Gute

gruß
Coverflow