Beide Browser kacken ab: HTML/Crypted.Gen
 

Hallo zusammen!
Hab seit zwei Tagen ein Problem mit einem wohl schon hinreichend bekannten Trojaner: HTML/Crypted.Gen. Konnte aber bei Google-Suche und auch hier im Board kein Problem finden, welches meinem ähnelt.
Möchte zuerst sagen, dass ich von Malware und der Entfernung solcher wenig Ahnung habe. Ich habe Avira AntiVir Personal auf meinem PC. Die erste Meldung von Avira kam, nachdem ich auf den Download eines Flashplayers geklickt hatte, was sich wohl als Falle herausstellte. Seitdem wiederholen sich Meldungen von Funden vom Guard oder Scanner, zwei Dateien wurden ins Quarantäneverzeichnis verschoben.
Mein Problem ist nun folgendes: Firefox lädt zwar noch die Startseite hoch, stürzt dann aber nach wenigen Sekunden ab. Der Internet Explorer poppt in regelmäßigen Abständen unerwartet Werbefenster auf, ohne dass ich diesen gestartet hätte. Internet Explorer lässt sich auch nur das erste Mal nach dem Hochfahren starten, danach gibt es immer Probleme, die Startseite hochzuladen ("Die Wiederherstellung dieser Website wurde beendet. Offenbar bestehen weiterhin Probleme mit dieser Website").
Nun meine Frage an euch: Wie kann ich bei diesem Problem vorgehen. Von HiJackThis habe ich keinen Plan, habe es gedownloadet(chip.de), es folgten aber einige Fehlermeldungen, welche ich jetzt einfach mal hierhin kopiere.
Unmittelbar nach dem Download:
"HijackThis appears to have been started from a temporary folder. Since temp folders tend to be emptied regularly, it´s wise to copy HijackThis.exe to a folder of its own, for instance C:\Program Files\HijackThis.
This way, any backups that will be made of fixed items won´t be lost.
Please quit HijackThis and copy it to a separate folder first before fixing any items"
Und wenn ich dann einen Scan machen will, kommt folgende Meldung:
"For some reason your system denied write access to the Hosts file. If any hijacked domains are in this file, HijackThis may NOT be able to fix this.
If this happens, you need to edit the file yourself. To do this, click Start, Run and type:
notepad C:\Windows\System32\drivers\etc\hosts
and press Enter. Find the line(s) HijackThis reports and delete them. Save the files as 'hosts' (with quotes), and reboot.
For Vista: simply, exit HijackThis, right click on the HijackThis icon, choose 'Run as administrator'."
Anbei noch alle Meldungen von Avira mit der Hoffnung sie geben euch Aufschluss.

In der Datei 'C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\XT045ECA\tubesexmovies_com[1].htm'
wurde ein Virus oder unerwünschtes Programm 'HTML/Crypted.Gen' [virus] gefunden.
Ausgeführte Aktion: Zugriff verweigern
In der Datei 'C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\XT045ECA\tubesexmovies_com[1].htm'
wurde ein Virus oder unerwünschtes Programm 'HTML/Crypted.Gen' [virus] gefunden.
Ausgeführte Aktion: Zugriff erlauben
Die Datei 'C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\XT045ECA\tubesexmovies_com[1].htm'
enthielt einen Virus oder unerwünschtes Programm 'HTML/Crypted.Gen' [virus].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4872e342.qua' verschoben!
n der Datei 'C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\RSO0THOC\eee447[1].htm'
wurde ein Virus oder unerwünschtes Programm 'JS/Agent.bm.2992' [virus] gefunden.
Ausgeführte Aktion: Zugriff erlauben
In der Datei 'C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\RSO0THOC\ihZLLzcpylrbXFtX3jld[1].pdf'
wurde ein Virus oder unerwünschtes Programm 'EXP/Pidief.5962' [exploit] gefunden.
Ausgeführte Aktion: Zugriff erlauben
In der Datei 'C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\866S292R\eee447[1].htm'
wurde ein Virus oder unerwünschtes Programm 'JS/Agent.bm.2992' [virus] gefunden.
Ausgeführte Aktion: Zugriff erlauben
In der Datei 'C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\866S292R\porntubeshow_com[1].htm'
wurde ein Virus oder unerwünschtes Programm 'HEUR/HTML.Malware' [heuristic] gefunden.
Ausgeführte Aktion: Zugriff erlauben
In der Datei 'C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\OZ9QQAW4\eee447[1].htm'
wurde ein Virus oder unerwünschtes Programm 'JS/Agent.bm.2992' [virus] gefunden.
Ausgeführte Aktion: Zugriff erlauben
In der Datei 'C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0SLUFKMM\PvbH9pyj0bsd[1].pdf'
wurde ein Virus oder unerwünschtes Programm 'EXP/Pidief.5962' [exploit] gefunden.
Ausgeführte Aktion: Zugriff erlauben
In der Datei 'C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\RI90LFO6\eee447[1].htm'
wurde ein Virus oder unerwünschtes Programm 'JS/Agent.bm.2992' [virus] gefunden.
Ausgeführte Aktion: Zugriff erlauben
Die Datei 'C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0SLUFKMM\PvbH9pyj0bsd[1].pdf'
enthielt einen Virus oder unerwünschtes Programm 'EXP/Pidief.5962' [exploit].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4fbe3691.qua' verschoben!
In der Datei 'C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\RSO0THOC\flash_play_tube[1].js'
wurde ein Virus oder unerwünschtes Programm 'HTML/Crypted.Gen' [virus] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Was ich zum Schluss noch loswerden muss: Von Viren, Trojanern&Co. habe ich wirklich keine Ahnung. Ich will euch auch ungern mit meinem laienhaften Beitrag belästigen, aber ich brauche schlichtweg eine Lösung für das Problem, ein vergleichbares habe ich im Netz nicht gefunden.

P.S. Bitte keine Kommentare über die URLs, ich hab mich schon genug über mich selbst aufgeregt:lach: Man lernt schließlich aus seinen Fehlern
MfG
Manny Marc

Hallo und :hallo:

bitte nen Vollscan mit malwarebytes machen und Log posten. Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Malwarebytes hats echt gebracht! Beide Browser gehen wieder, keine nervigen Popups! Vielen Dank@cosinus!

Du sollst die Logs posten!

Der Vollständigkeit halber hier also die Logs im Anhang. Ich konnte leider nur einen der drei Logs in den Anhang hochladen.

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4117

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904

19.05.2010 18:16:00
mbam-log-2010-05-19 (18-16-00).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 224393
Laufzeit: 34 Minute(n), 20 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\M5T8QL3YW3 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\QZAIB7KITK (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\m5t8ql3yw3 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\qzaib7kitk (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\***\Saved Games\Call of Duty 4\#readme#\rzr-cod4-keygen.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
D:\Part_Recover\Call of Duty 4\#readme#\rzr-cod4-keygen.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\***\AppData\Local\Temp\El1.exe (Trojan.FakeAlert) -> Delete on reboot.
C:\Users\Public\Desktop\AntiVir.lnk (Rogue.Antivir2010) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Windows\Efydua.exe (Trojan.FakeAlert) -> Delete on reboot.

MfG
Manny Marc

Die (Be)nutzung von Cracks, Serials und Keygens ist illegal, somit gibt es im Trojaner-Board keinen weiteren Support mehr.

Für Dich geht es hier weiter => Neuaufsetzen des Systems
Bitte auch alle Passwörter abändern (für E-Mail-Konten, StudiVZ, Ebay...einfach alles!) da nicht selten in dieser dubiosen Software auch Keylogger und Backdoorfunktionen stecken.

Danach nie wieder sowas anrühren!