Antivir findet immer wieder TR/Crypt Redol.18432.2.6
 

Hallo zusammen,

ich habe Antivir auf meinem Laptop.
Nach jedem hochfahren findet es TR/Crypt Redol.18432.2.6 bei C:\Windows\System32\..... (Beispiel: C:\Windows\System32\geyekrcrjinpec.dll) also auch manchmal unter verschiedenen namen.
Es kann weder gelöscht noch der Zugriff verweigert werden.
Wenn ich eine komplette Systemüberprüfung mit Antivir machen will, stürtz mein laptop ab. Es erscheint ein Blauer Bildschirm, wo steht : ihr rechner musste aufgrund eines schwerwiedenden fehlers heruntergefahren werden...
Wenn es hochgefahren ist, steht dort, dass windows beschädigt ist und möglicherweise nicht mehr richtig funktioniert.

Ich habe hier und bei google richtig lange durchgelesen und habe auch mit Malwarebytes alles abgecheckt.

Hier das logfile:
Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2525
Windows 6.0.6002 Service Pack 2

29.07.2009 12:18:47
mbam-log-2009-07-29 (12-18-47).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 261584
Laufzeit: 1 hour(s), 0 minute(s), 27 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 2
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b7d3e479-cc68-42b5-a338-938ece35f419} (Adware.SoftMate) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\NetPumper (Adware.NetPumper) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{b7d3e479-cc68-42b5-a338-938ece35f419} (Adware.SoftMate) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Users\Hizbullah\AppData\Roaming\NetPumper (Adware.NetPumper) -> Quarantined and deleted successfully.
C:\Program Files\NetPumper (Adware.NetPumper) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\Users\hizbullah\documents\Download\cryptload\cryptload114\router\fritz!box\nc.exe (PuP.Keylogger) -> Quarantined and deleted successfully.
c:\Users\hizbullah\documents\Download\cryptload\cryptload_1.0.4\router\fritz!box\nc.exe (PuP.Keylogger) -> Quarantined and deleted successfully.


Eine überprüfung mit SuperAntiSpyware habe ich ebenfalls durchgefürt.
Es wurden 159 Objekt gefunden. Habe alle gelöscht.

Alles ohne erfolg.:heulen:
Nun habe ich aus verzeiflung Antivir deinstalliert und eine testversion von Kasperski draufgeladen.

Kann mir bitte einer helfen.

Hallo und Herzlich Willkommen! :)

Falls du doch für die Systemreinigung entscheidest:

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
Ergebnisse von SUPERAntiSpyware bitte auch posten

2.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird Gmer beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

3.
Lade und installiere das Tool RootRepeal herunter

- setze einen Hacken bei: "Drivers", "Stealth Objects" und "Hidden Services" dann klick auf "OK"
- nach der Scan, klick auf "Save Report"
- speichere das Logfile als RootRepeal.txt auf dem Desktop und Kopiere den Inhalt hier in den Thread

4.
lade Dir HijackThis 2.0.2 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

5.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

6.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

7.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein log schreibst du:[code]
hier kommt dein logfile rein
→ dahinter:[/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw
gruß
Coverflow

Hallo Killa86,

es gibt ja selbsternannte Spezialisten, die Dich erstmal diverse Programme laden lassen und die ausgeworfenen Log-Dateien anfordern und Dir im Endeffekt dann nicht helfen können.

Du könntest aber auch folgenden Weg gehen um den Plagegeist loszuwerden.

1.) Systemwiederherstellung für die Boot-Festplatte deaktivieren

2.) "Vista PE" von CD starten (das ist ein Hilfsbetriebssystem von Microsoft, gibt es z.B. auf der Service-CD von Computerbild.

3.) Das Windows-Verzeichnis nach " geyekrcrjinpec.* " (in Deinem Fall) durchsuchen lassen.
Es werden meist 4 Dateien im Ordner /System32 gefunden, 1 Datei im Ordner /Driver und diverse Dateien im Ordner /Temp

Alle löschen - das war's !!!

Im normalen Windows-Explorer werden diese Dateien - egal mit welchen Optionen - nicht angezeigt.
Es muss also entweder mit diesem Vista PE oder z.B. mit einem Linux System, das auf Windows-Dateien zugreifen kann, von CD gebootet werden.
Sollte sich der Störenfried weiter auf Deinem PC ausgebreitet haben, kannst Du ihn mit Spybot Search&Destroy aufspüren - löschen musst Du dann manuel, das Tool konnte es bei mit jedenfalls nicht.

Viel Erfolg

@oldie

glaubst denn dass ist die einzige Datei die Probleme macht?
gut dass Du dein Humor noch nicht verloren hast:aplaus:

coverflow


ERST PROBIEREN - DANN MECKERN !!!

@oldie

Du kannst mir glauben, dass ich mit Spybot mehr wie genug Erfahrung habe ;)
- Wenn mal über Live-CD die Rede...wieso nach eine einzelne Datei suchen lassen? Wäre es nicht besser, das ganze System durchsuchen lassen?
Dein Vorschlag...ist nicht mit soviel aufwand zu verbunden?
1.
eine voll funktionstüchtige Live-CD erstellen
2.
nach eine bestimmte Dateiname suchen
3.
noch Spybot installieren lassen
4.
dann doch ist eine manuelle Löschung erforderlich, weil Spybot es nicht schaffen kann?
cool...einfach löschen? Ok, aber wie? Tipps vergessen?!

aber ja, jede weitere Diskussion ist sinnlos, da die Wissensbasis zu unterschiedlich ist :teufel3:

Coverflow

Was nicht sein darf, das kann auch nicht sein !
Mein System ist jedenfalls wieder sauber - ohne Neuinstallation.

Theoretiker wussten schon immer alles besser - nur ständen wir, wenn es nach ihnen gänge, heute technisch nicht da, wo wir sind.

woher weißt Du es? nur weil dein Antivirenprogramm meckert nicht (mehr) ? und/oder weil Spybot nicht mehr findet?
na dann in diesem Sinne, frohes Surfen :)

Jungs ich danke für eure Hilfe.

Mein laptop hat nur noch herumgespinnt. Ich konnte kaum noch etwas machen. es kamen nur fehlermeldungen.:headbang:
Deshalb habe ich alles formatiert und vista neu installiert.

Nun ist alles in ordung.
Können nur hoffen, dass es auch so bleibt.

Kluge Entscheidung:)

Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus
Informationen, Tipps und Wissenswertes zum Schluss:
ich wünsche dir alles Gute:)

gruß
Coverflowhttp://www.world-of-smilies.com/wos_...schilder92.gif