PCK.Tdss.Z.230 und Crypt.ZPACK.Gen Trojaner Befall
 

Hi,
habe in meinem System kurz nach Windowsstart jeweils Antivir Guard die Meldungen:
- In der Datei 'C:\WINDOWS\system32\tdlclk.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.Z.230' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen
- In der Datei 'C:\WINDOWS\system32\tdlclk.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.Z.230' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

Das Löschen fuehrt aber nicht zum Erfolg, die Meldung kommt immer wieder.
Symptome sind Probleme beim Offnen von links im Internet Explorer (speziell Google Ergebnisse) und in Opera.
Laut Anleitungen zu diesem Problem hier im Board habe ich AVZ laufen lassen, die entsprechenden Befunde haenge ich an.
Habe auch ein Highjackthis log gepostet.
Waere sehr Dankbar um Hilfe!!

Hallo und Herzlich Willkommen! :)

Falls du doch für die Systemreinigung entscheidest - Ein System zu bereinigen kann ein paar Tage dauern (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst::

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

2.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

4.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - "Show all" soll nicht angehakt sein! dann klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird Gmer beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
** kannst Du das Log bei File-Upload.net/kostenlos hochladen und den Link mir hier posten.

gruß
Coverflow

Hi,
Vielen Dank, dass du dich dem Problem annimmst. Super! Ok, alles klar, ich weiss, dass das nicht einfach und kurz wird. Hab´alles versucht so zu machen, wie beschrieben.

So, hier erstmal das Ergebnis von Filelist:

Hier das Ergebnis von CCleaner:

Uns hier das Ergebnis von Gmer:

Hier der link dazu:
http://www.file-upload.net/download-2148765/Gmerscan.txt.html

Gruss und vielen Dank schonmal, dass du dich meinem Problem annimmst!!!

hi

1.
Selbst wenn du ein „sicheres“ P2P Programm verwendest, ist es nur das Programm, das sicher ist.Du wirst Daten von "uncertified Quellen" teilen, und diese werden häufig angesteckt...;)

2.
Windows und die installierten Programme auf den neuesten Stand zu halten,sind Garanten für eine erhöhte Sicherheit!
Java aktualisieren `Start→ Systemsteuereung→ Java→ Aktualisierung...(Update 17 schon fällig!)
danach deinstalliere:
`Systemsteuerung → Software → Ändern/Entfernen...`
3.
um die neueste Version von Adobe zu erhalten klick hier: Adobe Reader

4.
Folgende Ergebnisse möchte ich noch sehen:
5.
"Start--> Ausführen" dann folgende Befehl bitte eingeben: cmd --> ok
es öffnet sich ein Kommando-Fenster
danach folgende Befehl eingeben und nach jedem Befehl die Eingabetaste [Enter] drücken:

Exit

6.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten):
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen
7.
Eine ganze Menge BHO`s & Toolbars :o
- im Logfile HijacktHis unter 02 u. 03 aufgelistet:
- Immer mehr Programme bringen eine Toolbar mit.(wie z.B. Google, Yaho,Messenger, Winamp, Adobe Reader usw). Manche Zustimmung der User installiert, manche wieder ohne Wissen des Benutzers;) Viele davon sehr fehleranfällig und fressen eine Menge an Systemressourcen. Zur funktionstüchtigen Installation der jeweiligen Software ist Toolbar aber nicht notwendig, zudem die meisten modernen Browser mit vielen zusätzlichen Funktionen ausgestattet sind. Ausserdem die dazugehörigen Programme, funktionieren auch ohne...
- Man kann sie deinstallieren oder mit HJT fixen: alle Programme, Browser etc schließen→ HijackTis starten→ "Do a system scan only" anklicken→ Eintrag auswählen→ "Fix checked"klicken→ PC neu aufstarten
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen

8.
- Überflüssige Dienste belasten nur den Prozessor und Arbeitsspeicher, daher solltest Du abschalten:
- unter `Systemsteuerung - Verwaltung - Dienste oder "Ausführen"-> gibst Du in das Dialogfenster den Befehl services.msc -> Ok
mit der rechten Maustaste auf den Dienstnamen klicken→ wähle `Eigenschaften`→ `Starttyp`→ Manuell, damit wird der Dienst ruhiggestellt. Den Dienst erst dann nur starten, wenn ein Programm ihn benötigt.

9.
Nicht nötig -> C:\WINDOWS\tasks:
10.
poste erneut:
Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

Hi,
Vielen Dank schon mal so weit!! Ich habe versucht soweit alles abzuarbeiten:
Azureus und Limewire sind weg, Java und Adobe Reader haben ein update bekommen, altes Java ist weg. Askservice und die anderen Dienste und tolbars habe ich wie beschrieben entfernt, bzw über die Verwaltung auf manuell geschaltet (die meisten waren das allerdings schon).

Punkt 4 habe ich nicht ganz verstanden: Was meinst du mit VundoFix.txt und
avenger.txt?
Folgendes habe ich gemacht:
Ich habe Avenger.exe heruntergeladen und laufen lassen (Wlan und Internet weg, Zonealarm und Antivir deaktiviert:

Vundofix.exe hatte ich schon, hab´s nach Averger.exe laufenlassen:

Ergebnis war die Meldung, dass es keinen infizierten File gibt.

Am Ende noch ein neuer Lauf mit Hijackthis:

Nun noch zwei Beobachtungen nach mehreren Systemneustarts:

- Es kommt nur noch ein Fund, der des Crypt.ZPACK.Gen (tdlcmd.dll in System32).
- Avira bringt ziemlich exakt 5 Minuten nach dem Start des Guards die Meldung zu diesem Fund, das scheint zeitlich reproduzierbar ohne dass ich irgendwas am System mache (hab´extra gewartet).

Warte auf neue Instruktionen,
Gruss und Vielen Dank.

hi

VundoFix und Avenger waren auf dem Rechner installiert bzw hast Du schon (früher) laufen lassen;)

- Kannst Du den Bericht von Avira (nur den Auszug wo der [FUND] steht) hier posten?

1.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org

• Installieren und per Doppelklick starten.
• Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
• "Komplett Scan durchführen" wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• alle Funde markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Malwarebytes Anti-Malware

2.
Bitte unbedingt alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner - wähle hier "My computer" aus und das Logergebnis speichern "Save as" dann posten
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben

Hi,
Die letzte Fund-Meldung (13.01. 23:20) von Avira lautet:
Der letzte Avira Scan hat folgenden Bericht:

Heute lief Malwarebytes drüber:
Seit dem Neustart bisher keine Avira Fund Meldung mehr, das hatte ich vorher nach jedem Neustart.

Kaspersky habe ich schon am Wochenende drüberlaufen lassen, da hiess es danach, dass es keinerlei Fund gaebe.

Werde nachher nochmal Avira und Malwarebytes laufen lassen und berichten, ob sich wieder was findet, bzw ob wieder Probleme auftreten.
Also ich weiss ja nicht, aber momentan sieht es gut aus!
Was denkst du?
Gruss und tausend Dank für deine Vorschlaege soweit

hi

ist Dir bekannt?:
1.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
**Der Temp Ordner,ist für temporäre Dateien,also der Inhalt kann man ohne weiteres löschen.- Dateien, die noch in Benutzung sind, nicht löschbar.
**Lösche nur den Inhalt der Ordner, nicht die Ordner selbst!

• `Start → ausführen` "cleanmgr" reinschreiben (ohne "") → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) müssen geleert werden→ "Ok"
• `Start → ausführen` → %temp% reinschreiben (ohne "")→ "Ok" - - Ordnerinhalt überall markieren und löschen
• für jedes Benutzerkonto bitte durchführen
• anschließend den Papierkorb leeren

2.
reinige dein System mit Ccleaner:

• "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

3.

• lade Dir SUPERAntiSpyware FREE Edition herunter.
• installiere das Programm und update online.
• starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
• setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
• anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
• auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
• um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
• drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

** Hast du sonst Probleme mit deinem Rechner?

Hi,

Habe nun länger nicht geantwortet, der Grund war, dass ich eine Woche nicht da war und nun auch beschlossen habe, das System am besten ganz neu aufzusetzen. Ich hatte plötzlich Probleme mit einigen Accounts und auch ein deutlich instabileres System (Freezing und plötzlicher Neustart des PC). Was ich noch herausfand ist, dass ich wohl irgendwann (unbewusst) die "Askbar" als toolbar mitinstalliert habe und genau seitdem die Probleme habe. Diese habe ich auch letztendlich wegbekommen, aber nicht alle Probleme. Opera hat trotzdem nicht mehr sauber funktioniert (z.B. redirecting von Google). Also habe ich vor einer Woche alles plattgemacht und neu aufgesetzt. Naja, jetzt ist alles wieder stabil und ich danke dir sehr für deine Hilfe!!

Viele Grüsse