TR/Crypt.XPACK.Gen und "Windows System Defender"

saku

Hallo,

da sich hier in diesem Forum einige Leute recht gut auszukennen scheinen, will ich mal meinen aktuellen Fall schildern:

Es geht um den Laptop meiner Freundin. Sie benutzt AntiVir und bekam neulich beim Surfen (Facebook, glaube ich) eine Meldung über den Trojaner namens TR/Crypt.XPACK.Gen bei der Datei cmaxorswen.tmp. Gleich mehrfach nacheinander. Haben die betroffene Datei(en) in Quarantäne geschoben und erstmal gegoogelt.

Irgendwo wurde empfohlen, ein bestimmtes Windowsupdate zu installieren, habe mir aber leider nicht notiert, welches. Also habe ich erstmal versucht, die fehlenden Updates nachzuholen. Ohoh, war das vielleicht ein Fehler? Könnte es sein, dass der Eindringling absichtlich eine falsche Fährte gelegt und mich statt auf den Windows-Server auf einen eigenen umgeleitet hat?

Nach der Installation der Updates habe ich erstmal den Rechner vom Netzwerk getrennt und einen Festplattenscan durchgeführt. Beim darauf folgenden Neustart kam dann nur noch ein blue screen. Ich hab ihn abfotographiert:


Anschließend hab zunächst die Boot-CD von AntiVir ausprobiert. Leider hatte die irgendwie ne Macke, das graphische Interface hat nicht funktioniert. Also auch noch die KnoppiCillin-CD. Ich konnte so mehrere infizierte Dateien entfernen, Booten war aber immernoch nicht möglich. Da ich vermutete, es läge am MBR, habe ich diesen über die XP-CD und fixmbr neu geschrieben. Der blue screen verschwand nun auch, allerdings kamen jetzt Meldungen über fehlende dlls.

Nachdem das Kopieren von hal.dll von einem anderen System, wie es irgendwo vorgeschlagen wurde, nicht half, versuchte ich es mit einer Reparaturinstallation. Und siehe da - Windows startete wieder. Allerdings war das System offenbar immernoch schwer infiziert: Der Taskmanager ging nicht, Antivir war lahmgelegt, und ein mysteriöses Programm namens Windows System Defender war auf einmal aufgetaucht. Offenbar versuchte es, Verbindung zu einem russischen Server aufzunehmen, wie ich aus einigen Meldungen entnahm. Zusätzlich sollte ich offenbar durch angebliche Virenfunde durch den "Defender" verunsichert werden, untermalt durch ein recht schauerliches Geräusch...

Nun versuchte ich es mit CCleaner, Malwarebytes und RSIT nach dieser Anleitung:
http://www.trojaner-board.de/69886-a...-beachten.html

Bei CCleaner konnte ein Eintrag in der Registry nicht entfernt werden:
Daten {80b8c23c - 16e0 - 4cd8 - bbc3 - cecec9a78b79}
Schlüssel HKCR\{80b8c23c ...}

Es folgen noch die Logfiles der anderen beiden Programme. Ergebnis war nun, dass die genannten Beeinträchtigungen des Systems behoben sind. Ich habe die Updates nachgeholt und AntiVir neu installiert. Damit erscheint das System nun erstmal sauber zu sein. Ich bin mir bewusst, dass 100%ige Sicherheit nur durch eine vernünftige Neuinstallation gewährleistet ist. Aber zum Einen wollen wir nur ungern die kompletten gespeicherten Daten platt machen und zum anderen denke ich eben, dass auch Virenprogrammierer nur Menschen sind. Einen Rechner, vor dem man selber sitzt, zu installieren kann schon nervenaufreibend genug sein, aber dann noch an Systemupdates, Firewalls und Virenscannern und einem doch-nicht-ganz-DAU vorbei zu kommen, erscheint mir doch schon recht kompliziert. Für die meisten Angreifer dürften lohnendere Ziele existieren. Oder bin ich hier zu unbedarft?

Ich würde mich freuen, wenn sich hier mal jemand die Logfiles ansehen könnte. Vielleicht gibt es da ja noch Hinweise, was man noch machen könnte, um die Systemsicherheit zu erhöhen. Ansonsten freue ich mich über eine undogmatische Diskussion über Neuaufsetzen oder nicht.

Ach ja eine Sache noch:
Ich komme irgendwie nicht (mehr) ins BIOS. Möglicherweise hab ich einfach das Passwort vergessen (wenn es sich denn vom Bootpasswort unterschied), aber kann es sein, dass ein Virus auch das BIOS schädigt? Und wie erkenne ich das?

Viele Grüße,
Saku