Trojaner-Board - Frühzeitige Symptome auf Trojaner/Malware-befall

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Frühzeitige Symptome auf Trojaner/Malware-befall (https://www.trojaner-board.de/78942-fruehzeitige-symptome-trojaner-malware-befall.html)

Frühzeitige Symptome auf Trojaner/Malware-befall

Morgen Forum, ich bin neu hier und hoffe, dass mir geholfen werden kann.

Vor ca. 4 Tagen merkte ich beim Start des PCs, dass die Firewall deaktiviert war. Ich dachte mir schon "Ach du Schei*e, ich denke, ich hab mir was eingefangen!" und Scan erst einmal meinen PC komplett durch - Expertenmodus Avira Antivir Free Home Edition. Es werden 2 oder 3 Files gefunden und diese von mir gelöscht. Ich weiß auch, dass ich mir das Problem selbst zuzuschreiben habe, da ich eine relativ zwielichtige Seite besucht habe und von dort was installiert habe - schön blöd :heulen:
Am nächsten Tag (bis heute) war jedesmal beim Start der Avira Guard gestoppt - Ich lies das Programm nochmal durchlaufen, ohne mir viel Hoffnung zu machen - fand auch nichts. Ich denke an meinem Virenschutz wird von einem Trojaner rumgepfuscht.
Endgültig sicher bin ich mir, seitdem aufeinmal PopUps aufgingen, auch auf Seiten, wo das eigentlich nicht so ist (Google)

Soweit ich weiß muss ich hier ja eine HiJackThis-file posten, also hier ist sie:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:25:10, on 29.10.2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe

C:\Programme\Microsoft Xbox 360 Accessories\XboxStat.exe

C:\Programme\Java\jre6\bin\jusched.exe

C:\Programme\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\MOUSE Editor\MouseEditor.exe

D:\Programme\Spybot - Search & Destroy\TeaTimer.exe

C:\Programme\OpenOffice.org 3\program\soffice.exe

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Programme\OpenOffice.org 3\program\soffice.bin

C:\Programme\Bonjour\mDNSResponder.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Programme\MOUSE Editor\MouseData\Tools\MyShowMessage.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

C:\Programme\iPod\bin\iPodService.exe

C:\WINDOWS\System32\alg.exe

D:\Programme\Last.fm\LastFM.exe

C:\Programme\Avira\AntiVir Desktop\avguard.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\Java\jre6\bin\jucheck.exe

C:\Programme\Mozilla Firefox\firefox.exe

D:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=488

O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"

O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Samsung Common SM] "C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun

O4 - HKLM\..\Run: [XboxStat] "C:\Programme\Microsoft Xbox 360 Accessories\XboxStat.exe" silentrun

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [OscarEditor] "C:\Programme\MOUSE Editor\MouseEditor.exe" Minimum

O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe

O4 - Global Startup: Watch.lnk = C:\WINDOWS\twain_32\C6U14K\WATCH.exe

O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)

O17 - HKLM\System\CCS\Services\Tcpip\..\{A46012C2-0882-4B4A-B32D-918AF1086E02}: NameServer = 87.118.100.175,94.75.228.29,85.25.251.254,85.214.73.63,213.73.91.35,204.152.184.76,198.32.2.10,85.214.117.11

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: Adobe Version Cue CS3 {de_DE}  (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
 

--

End of file - 8692 bytes

Hier noch meine System-Info:

Code:

Betriebssystemname        Microsoft Windows XP Professional

Version        5.1.2600 Service Pack 2 Build 2600

Betriebssystemhersteller        Microsoft Corporation

Systemname        MAENNER-PC

Systemhersteller        Packard Bell NEC

Systemmodell        IMEDIA 5645

Systemtyp        X86-basierter PC

Prozessor        x86 Family 15 Model 4 Stepping 9 GenuineIntel ~3059 Mhz

Prozessor        x86 Family 15 Model 4 Stepping 9 GenuineIntel ~3059 Mhz

BIOS-Version/-Datum        Award Software International, Inc. 10f, 17.09.2005

SMBIOS-Version        2.3

Windows-Verzeichnis        C:\WINDOWS

Systemverzeichnis        C:\WINDOWS\system32

Startgerät        \Device\HarddiskVolume1

Gebietsschema        Deutschland

Hardwareabstraktionsebene        Version = "5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)"

Benutzername        xyz/xyz

Zeitzone        Westeuropäische Normalzeit

Gesamter realer Speicher        1.024,00 MB

Verfügbarer realer Speicher        344,43 MB

Gesamter virtueller Speicher        2,00 GB

Verfügbarer virtueller Speicher        1,96 GB

Größe der Auslagerungsdatei        2,40 GB

Auslagerungsdatei        C:\pagefile.sys

Zusatzinformationen zur Hardware:

Code:

Grafikkarte: NVidia GeForce 8800 GTS

Prozessor: Intel Pentium 4 CPU 3.06 GHz

Hoffe, mir kann noch geholfen werden

EDIT:
Ach ja, hier die Auswertung der Hijackthis-file:
Ich werde vor folgenden Sachen gewarnt:

Code:

C:\Programme\Avira\AntiVir Desktop\sched.exe         >                  

Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\antivir.*\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.

C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe        >                 

Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\windows\samsung\panelmgr\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.

C:\Programme\Java\jre6\bin\jucheck.exe                 >         

Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\java\jre1.5.0_02\bin\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. Part of Java

Ich denke ich habe ein bisschen mehr als nötig gepostet, aber besser zuviel als zuwenig.

MfG TheReal48

Hallo TheReal48

:hallo:

Das HJT log ist soweit in Ordnung. Bitte einmal hier http://www.trojaner-board.de/69886-a...-beachten.html entlang, lesen und dann den Punkt 2 abarbeiten. Bitte alle anfallenden logs als Anhang an deine Antwort. Manche logs sind unter Umständen recht groß um sie zu posten und ich habe den Vorteil daß ich sie mir direkt im Editor ansehen kann.

Gruß

Acid

Hier sollte jetzt alles richtig sein:

Schon einmal :dankeschoen: im vorraus ^^

Also ich sehe da bis jetzt nichts auffälliges. Lass uns mal nach Rootkits suchen. Dazu werden wir GMER benötigen. Als erstes musst du ein paar Einstellungen vornehmen:

Windows-Explorer öffnen (Windows-Taste + E) und unter => Extras => Ordneroptionen => im Reiter "Ansicht"

* Dateien und Ordner: Erweiterungen bei bekannten Dateitypen ausblenden deaktivieren
* Dateien und Ordner: Geschützte Systemdateien ausblenden (empfohlen) deaktivieren
* Dateien und Ordner: Inhalte von Systemordnern anzeigen aktivieren (bei Vista nicht vorhanden)
* Versteckte Dateien und Ordner: alle Dateien und Ordner anzeigen aktivieren

Bevor mit GMER gescant werden kann müssen erst einige Dinge erledigt werden:

Alle Scanner gegen Viren, Spyware und sonstiges müssen deaktiviert werden
Alle Netzwerk- und Internetverbindungen trennen (auch WLAN)
Beim Scan nichts am Rechner machen
Nach dem Scan den Rechner neustarten

Der Gmer Scan:

* GMER auf den Desktop herunter laden.
* Gmer ist geeignet für => NT/W2K/XP/VISTA.
* Alle geöffneten Programme schließen (auch den Browser) Hintergrundprogramme nach Möglichkeit beenden
* Gmer.exe starten
* Vista-User müssen das Programm als Administrator starten
* Den Scan mit "Scan" starten. Nichts am Rechner machen während der Scan läuft.
* Wenn der Scan fertig ist auf "Copy" klicken um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
* Das Log entweder direkt als Antwort posten oder als Textdatei auf den Desktop speichern falls erst der Neustart durchgeführt wird.

Falls sich ein Fenster mit folgender Warnung öffnet:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
Unbedingt auf "No" klicken.

Alle Scanner unbedingt einschalten bevor eine Internetverbindung hergestellt wird!

Gruß

Acid

Zitat:

Alle Scanner unbedingt einschalten bevor eine Internetverbindung hergestellt wird!

Das wird mir zu heiß, ich hab fürs erste meinen PC komplett vom Internet getrennt und schreibe jetzt von meinem MAC aus...

Was ich sehr seltsam fand: obwohl ich ein Häkchen auch bei der Festplatte D gesetzt habe, taucht diese nicht im log auf. Auch scheint er nur meinen iTunes-ordner geprüft zu haben. Das werd ich nochmal machen, fürs erste die vorläufige Log-file:

EDIT: WTH, die file ist zu groß? musste die .txt datei in 2 teilen. Hoffentlich ist das noch übersichtlich :teufel1:

MfG TheReal48

Hallo TheReal

Zitat:

Alle Scanner unbedingt einschalten bevor eine Internetverbindung hergestellt wird!

Das ist eigentlich nur als Erinnerung gedacht daß du deine Scanner, die du ja für den Gmer Scan deaktiviert hast, auch wieder einschaltest bevor du mit dem rechner wieder ins netz gehtst. ;)

Also weiter im Text :)

Ein Rootkit hat sich schonmal nicht bei dir eingenistet das log ist sauber. Also müssen wir weitersuchen wer dir die Werbepopups verpasst. Mache einen Scan mit http://www.trojaner-board.de/51871-a...tispyware.html. Das log auch bitte posten.

Gruß

Acid

Hier der Log - Ich beginne wieder zu hoffen :aufsmaul:

Hallo TheReal

Also das was SAS da gefunden hat sind nur Tracking Cookies, die kannst du löschen.

Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 1 (Suche)
Warte bis der Scanbericht erstellt wird (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen)

Gruß

Acid

Bitteschön...

EDIT: Ich wollte jetzt nicht untätig rumsitzen und habe mal in Avira unter "Ereignisse" geschaut und poste mal hier die Funde seit dem Aufkommen:
Guard: 14.10.2009 "In der Datei xyz wurde ein Virus oder unerwünschtes Programm gefunden: 'TR/Crypt.XPACK.Gen' [trojan] Ausgeführte Aktion: löschen
Guard: 14.10.2009 "In der Datei xyz wurde ein Virus oder unerwünschtes Programm gefunden: 'TR/Crypt.XPACK.Gen' [trojan] Ausgeführte Aktion: Zugriff Verweigern
Guard: 14.10.2009 "In der Datei xyz wurde ein Virus oder unerwünschtes Programm gefunden: 'TR/Crypt.XPACK.Gen' [trojan] Ausgeführte Aktion: Zugriff Verweigern
Guard: 14.10.2009 "In der Datei xyz wurde ein Virus oder unerwünschtes Programm gefunden: 'TR/Crypt.XPACK.Gen' [trojan] Ausgeführte Aktion: Zugriff Verweigern
Guard: 14.10.2009 "In der Datei xyz wurde ein Virus oder unerwünschtes Programm gefunden: 'TR/Crypt.XPACK.Gen' [trojan] Ausgeführte Aktion: Zugriff Verweigern
Guard: 16.10.2009 "In der Datei xyz wurde ein Virus oder unerwünschtes Programm gefunden: 'TR/Crypt.XPACK.Gen' [trojan] Ausgeführte Aktion: Zugriff Verweigern
Guard: 16.10.2009 "In der Datei xyz wurde ein Virus oder unerwünschtes Programm gefunden: 'TR/Crypt.XPACK.Gen' [trojan] Ausgeführte Aktion: Zugriff Verweigern
Guard: 18.10.2009 "In der Datei xyz wurde ein Virus oder unerwünschtes Programm gefunden: 'TR/Crypt.XPACK.Gen' [trojan] Ausgeführte Aktion: löschen
Scanner: 18.10.2009 "In der Datei xyz wurde ein Virus oder unerwünschtes Programm gefunden: 'TR/Crypt.XPACK.Gen' [trojan] Ausgeführte Aktion: In Quarantäne verschieben
Guard: 20.10.2009 "In der Datei xyz wurde ein Virus oder unerwünschtes Programm gefunden: 'TR/Crypt.XPACK.Gen' [trojan] Ausgeführte Aktion: löschen
Guard: 20.10.2009 "In der Datei xyz wurde ein Virus oder unerwünschtes Programm gefunden: 'TR/Crypt.XPACK.Gen' [trojan] Ausgeführte Aktion: löschen
Scanner: 20.10.2009 "In der Datei ZYX wurde ein Virus oder unerwünschtes Programm gefunden: 'TR/Crypt.XPACK.Gen' [trojan] Ausgeführte Aktion: In Quarantäne verschieben
Guard: 27.10.2009 "In der Datei YZX wurde ein Virus oder unerwünschtes Programm gefunden: 'TR/Crypt.PEPM.Gen' [trojan] Ausgeführte Aktion: löschen
Guard: 20.10.2009 "In der Datei xyz wurde ein Virus oder unerwünschtes Programm gefunden: 'TR/SPY.99328.11' [trojan] Ausgeführte Aktion: löschen

Genau am nächsten Tag war Avira das erste mal Deaktiviert - und wurde vom Internet abgesteckt.
Ich hoffe das hilft Dir/Mir.

MfG TheReal48

Hiess die Datei wirklich xyz (zyx / yzx) oder hast du den Namen verändert? Wie gehts dem Rechner im Moment? Bitte gib mir mal den genauen Pfad wo das Ding gefunden wurde.

Gruß

Acid

So, da bin ich wieder.
Tschuldigung, dass ich den Pfad nicht gleich drinnen hatte, Ich hatte nur meinen USB-Stick verschlampt, sodass ich nicht die Meldungen als .txt speichern und auf den MAC ziehen konnte...

Jetzt in voller länge.

Die Verfassung des PC's hat sich nicht verändert, jedesmal ist Antivir ausgeschaltet und Firewall wird als aktiv angezeigt, aber ich habe den PC fürs erste mal komplett vom Internet getrennt, sodass ich schön nahe am Ausgangspunkt bleibe.

MfG TheReal48

Hallo TheReal

Falls noch nicht geschehen deinstalliere ActionGameMaker.

Code:

D:\downloads\ActionGameMaker

Ich denke mal das ist das was du dir runtergeladen hast, alle Dateien davon, auch die entpackten löschen.

Alle Anwendungen schließen, Ordner für temporäre Dateien bitte leeren.
Lösche nur den Inhalt der Ordner die Ordner selbst nicht löschen! Dateien die noch in Benutzung sind nicht löschbar.

* `Start => ausführen` "cleanmgr" reinschreiben (ohne ") => "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) müssen geleert werden => "Ok"
* `Start => ausführen` => "%temp%" reinschreiben (ohne ") => "Ok" - Ordnerinhalt überall markieren und löschen
* für jedes Benutzerkonto bitte durchführen
* anschließend den Papierkorb leeren

Reinige danach dein System mit dem CCleaner.

Browser schließen => "Analysiere" => "Starte CCleaner"

Klicke danach im Programm auf "Registry" => "Nach Fehlern suchen" => "Fehler beheben"

Rechner neustarten.

Mache dann einen kompletten Scan mit deinem AV Programm und poste mir anschließend das Ergebnis hier.

Gruß

Acid

Ist bereits seit 5 Tagen deinstalliert, die Dateien hab ich auch schon gelöscht und den Papierkorb geleert...

Auch der "cleanmgr" war in letzter Zeit SEHR oft in benutzung, da meine C-Platte am Überlaufen ist.

Ich führ nochmal alles aus... hoffentlich klappt es...

...

ALSO: CCleaner sagt zwar immer, dass alle Registry-fehler behoben wurden, aber folgender Schlüssel/datei bleibt IMMER vorhanden:

Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

Die Auswertung vom AV gibts später, das dürfte nämlich noch ein weilchen dauern...

Zitat:

Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

Kannst du ignorieren, das gehört zu Antivir.

Gruß

Acid

So ein :koch: ...
Da ich Avira nicht mehr traue, hab ich mir die G-Data Antivir Testversion geholt und komplett durchlaufen lassen - auch nichts gefunden.
Trotzdem erscheinen die Pop-Ups noch...

MfG TheReal48