Trojaner TR/Trash.gen und TR/Crypt.XPACK.Gen' und 'TR/Rootkit.Gen' [trojan]

dirkkati

Hallöchen,

ich hoffe ihr könnt mir helfen. Bin total verzweifelt und weiblich und habe keine Ahnung von Vieren etc und leider auch nicht von diesem fachchinesisch in eurem Portal:-). Hatte so etwas auch noch nie. Habe auf meinem System Antivir und Zonealarm. Und auch immer regelmäßige scans gemacht und nach Viren geschaut. Seit gestern war mein Mann auf ebay und dann kam die Meldung vom Trojaner rootkit. Habe mich dann in eurem Forum belesen und CCleaner und Malwarebytes durchlaufen lassen bis alles bereinigt war. und dann noch GMER drüberlaufen lassen. Heute nun kamen dann wieder Meldungen von den beiden anderen Trojanern über Antivir. Haben alles noch einmal durch Malwarebytes gescannt. Aber los scheine ich das alles nicht zu sein. Eine Formatierung würde ich gerne vermeiden.

Hier die beiden Dateien von Malwarebytes:

gestern:
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3906
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

24.03.2010 02:10:04
mbam-log-2010-03-24 (02-10-04).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 253481
Laufzeit: 3 hour(s), 59 minute(s), 30 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 12

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mspclock (Rootkit.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{F47366A3-F600-43A8-873E-C47FA4F9630A}\RP311\A0315881.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F47366A3-F600-43A8-873E-C47FA4F9630A}\RP311\A0316846.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F47366A3-F600-43A8-873E-C47FA4F9630A}\RP311\A0315897.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F47366A3-F600-43A8-873E-C47FA4F9630A}\RP311\A0316840.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F47366A3-F600-43A8-873E-C47FA4F9630A}\RP311\A0316842.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F47366A3-F600-43A8-873E-C47FA4F9630A}\RP311\A0316843.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F47366A3-F600-43A8-873E-C47FA4F9630A}\RP311\A0316844.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F47366A3-F600-43A8-873E-C47FA4F9630A}\RP311\A0316845.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\mspclock.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\hndtbx.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Felix\Startmenü\Programme\Autostart\syspck32.exe (Trojan.Downloader) -> Delete on reboot.

und heute:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3906
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

25.03.2010 11:32:39
mbam-log-2010-03-25 (11-32-39).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 234084
Laufzeit: 3 hour(s), 5 minute(s), 22 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{F47366A3-F600-43A8-873E-C47FA4F9630A}\RP312\A0316863.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F47366A3-F600-43A8-873E-C47FA4F9630A}\RP312\A0316864.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

Avira heute:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 25. März 2010 10:28

Es wird nach 1867270 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : DIRKKATI

Versionsinformationen:
BUILD.DAT : 10.0.0.561 32098 Bytes 18.03.2010 15:35:00
AVSCAN.EXE : 10.0.2.3 433832 Bytes 07.03.2010 16:57:03
AVSCAN.DLL : 10.0.2.0 55144 Bytes 15.02.2010 15:03:11
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:06:34
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 06:06:34
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 08:55:07
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 20:28:09
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 20:31:37
VBASE005.VDF : 7.10.4.204 2048 Bytes 05.03.2010 20:31:39
VBASE006.VDF : 7.10.4.205 2048 Bytes 05.03.2010 20:31:39
VBASE007.VDF : 7.10.4.206 2048 Bytes 05.03.2010 20:31:41
VBASE008.VDF : 7.10.4.207 2048 Bytes 05.03.2010 20:31:41
VBASE009.VDF : 7.10.4.208 2048 Bytes 05.03.2010 20:31:42
VBASE010.VDF : 7.10.4.209 2048 Bytes 05.03.2010 20:31:43
VBASE011.VDF : 7.10.4.210 2048 Bytes 05.03.2010 20:31:43
VBASE012.VDF : 7.10.4.211 2048 Bytes 05.03.2010 20:31:44
VBASE013.VDF : 7.10.4.242 153088 Bytes 08.03.2010 16:07:55
VBASE014.VDF : 7.10.5.17 99328 Bytes 10.03.2010 16:07:55
VBASE015.VDF : 7.10.5.44 107008 Bytes 11.03.2010 16:07:56
VBASE016.VDF : 7.10.5.69 92672 Bytes 12.03.2010 15:24:07
VBASE017.VDF : 7.10.5.91 119808 Bytes 15.03.2010 15:24:09
VBASE018.VDF : 7.10.5.121 112640 Bytes 18.03.2010 10:11:58
VBASE019.VDF : 7.10.5.122 2048 Bytes 18.03.2010 12:01:24
VBASE020.VDF : 7.10.5.123 2048 Bytes 18.03.2010 12:01:24
VBASE021.VDF : 7.10.5.124 2048 Bytes 18.03.2010 12:01:24
VBASE022.VDF : 7.10.5.125 2048 Bytes 18.03.2010 12:01:24
VBASE023.VDF : 7.10.5.126 2048 Bytes 18.03.2010 12:01:24
VBASE024.VDF : 7.10.5.127 2048 Bytes 18.03.2010 12:01:24
VBASE025.VDF : 7.10.5.128 2048 Bytes 18.03.2010 12:01:24
VBASE026.VDF : 7.10.5.129 2048 Bytes 18.03.2010 12:01:24
VBASE027.VDF : 7.10.5.130 2048 Bytes 18.03.2010 12:01:24
VBASE028.VDF : 7.10.5.131 2048 Bytes 18.03.2010 12:01:24
VBASE029.VDF : 7.10.5.132 2048 Bytes 18.03.2010 12:01:24
VBASE030.VDF : 7.10.5.133 2048 Bytes 18.03.2010 12:01:25
VBASE031.VDF : 7.10.5.134 16384 Bytes 18.03.2010 12:01:25
Engineversion : 8.2.1.194
AEVDF.DLL : 8.1.1.3 106868 Bytes 25.01.2010 08:55:17
AESCRIPT.DLL : 8.1.3.18 1024378 Bytes 20.03.2010 10:12:08
AESCN.DLL : 8.1.5.0 127347 Bytes 26.02.2010 07:04:57
AESBX.DLL : 8.1.2.1 254323 Bytes 20.03.2010 10:12:09
AERDL.DLL : 8.1.4.3 541043 Bytes 20.03.2010 10:12:07
AEPACK.DLL : 8.2.1.0 426356 Bytes 02.03.2010 14:01:39
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 20.03.2010 10:12:06
AEHEUR.DLL : 8.1.1.13 2470262 Bytes 20.03.2010 10:12:05
AEHELP.DLL : 8.1.10.2 237941 Bytes 20.03.2010 10:12:03
AEGEN.DLL : 8.1.2.2 373107 Bytes 17.03.2010 10:09:45
AEEMU.DLL : 8.1.1.0 393587 Bytes 24.11.2009 06:06:35
AECORE.DLL : 8.1.12.3 188789 Bytes 20.03.2010 10:12:02
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 14:32:40
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.1.2 52072 Bytes 29.01.2010 10:47:36
AVSCPLR.DLL : 10.0.2.3 83304 Bytes 07.03.2010 17:02:25
AVARKT.DLL : 10.0.0.13 227176 Bytes 07.03.2010 16:48:35
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.46.0 98664 Bytes 05.03.2010 09:09:35

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_4be48c29\guard_slideup.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Donnerstag, 25. März 2010 10:28

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\repair\backup\servicestate\configdirectory\internet.evt
c:\WINDOWS\repair\Backup\ServiceState
[HINWEIS] Die Datei ist nicht sichtbar.
c:\windows\repair\backup\servicestate\configdirectory\tempkey.log
c:\WINDOWS\repair\Backup\ServiceState
[HINWEIS] Die Datei ist nicht sichtbar.
c:\windows\repair\backup\servicestate\configdirectory\userdiff
c:\WINDOWS\repair\Backup\ServiceState
[HINWEIS] Die Datei ist nicht sichtbar.
c:\windows\repair\backup\servicestate\configdirectory\userdiff.log
c:\WINDOWS\repair\Backup\ServiceState
[HINWEIS] Die Datei ist nicht sichtbar.
c:\windows\repair\backup\servicestate\eventlogs\aceevent.evt
c:\WINDOWS\repair\Backup\ServiceState
[HINWEIS] Die Datei ist nicht sichtbar.
c:\windows\repair\backup\servicestate\eventlogs\appevent.evt
c:\WINDOWS\repair\Backup\ServiceState
[HINWEIS] Die Datei ist nicht sichtbar.
c:\windows\repair\backup\servicestate\eventlogs\secevent.evt
c:\WINDOWS\repair\Backup\ServiceState
[HINWEIS] Die Datei ist nicht sichtbar.
c:\windows\repair\backup\servicestate\eventlogs\sysevent.evt
c:\WINDOWS\repair\Backup\ServiceState
[HINWEIS] Die Datei ist nicht sichtbar.
c:\windows\repair\backup\servicestate\removablestoragemanager\ntmsdata
c:\WINDOWS\repair\Backup\ServiceState
[HINWEIS] Die Datei ist nicht sichtbar.
c:\windows\repair\backup\servicestate\removablestoragemanager\ntmsreg
c:\WINDOWS\repair\Backup\ServiceState
[HINWEIS] Die Datei ist nicht sichtbar.
c:\windows\repair\backup\servicestate\configdirectory
c:\WINDOWS\repair\Backup\ServiceState
[HINWEIS] Das Verzeichnis ist nicht sichtbar.
c:\windows\repair\backup\servicestate\eventlogs
c:\WINDOWS\repair\Backup\ServiceState
[HINWEIS] Das Verzeichnis ist nicht sichtbar.
c:\windows\repair\backup\servicestate\removablestoragemanager
c:\WINDOWS\repair\Backup\ServiceState
[HINWEIS] Das Verzeichnis ist nicht sichtbar.
c:\programme\sony ericsson\mobile2\connection wizard\connectionwizard.exe
c:\Programme\Sony Ericsson\Mobile2\Connection Wizard\ConnectionWizard.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
\Driver\Cdrom
[HINWEIS] Der Prozess ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'epmworker.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Generic.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MWLaMaS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SEPCSuite.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ToWLaAcF.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CapabilityManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Application Launcher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NVMixerTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'snmp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SupServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MZCCntrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LGAutorunService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EmmaUpdateMgmt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EmmaDeviceMgmt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aavus.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\System Volume Information\_restore{F47366A3-F600-43A8-873E-C47FA4F9630A}\RP312\A0316863.sys'
C:\System Volume Information\_restore{F47366A3-F600-43A8-873E-C47FA4F9630A}\RP312\A0316863.sys
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49bb9073.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '512cbfcc.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 25. März 2010 10:46
Benötigte Zeit: 17:35 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
52 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
51 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise
61679 Objekte wurden beim Rootkitscan durchsucht
15 Versteckte Objekte wurden gefunden


Die Suchergebnisse werden an den Guard übermittelt.

Ich weiss leider nicht was ich noch machen soll. Weg schein das wohl nicht zu sein. Am System merke ich nichts, aber das hat wohl eher nichts zu bedeuten. Für eure Hilfe schon mal jetzt lieben Dank. Und bitte auf Laienhafte Beschreibungen achten:-)

Gruß Kati