Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh"
 

Hallo...sorry schonmal für den folgenden langen Post, aber lange Geschichte...
Ich bin vor einigen Tagen auf attackierenden Seiten gelandet.Avira hat jedesmal sofort Alarm geschrieen, Meldung war
das ganze 3 mal- bei den ersten beiden Malen Zugriff erlaubt, beim 3.mal verweigert.Ich habe immer "Entfernen" angeklickt.

Die 2. Warnung war
kam 2mal, beim ersten mal erlaubt, beim 2.Mal Zugriff verweigert.

Beide Warnungen kamen vom Guard.
In beiden Fällen kam rechts unten das Avira-Warnkästchen, und wenn ich was angeklickt hab, ist in Bildschirmmitte ein kleines Avira-Kästchen aufgegangen,in dem stand nur Avira-Suchlauf und ein Zeitbalken.Weit entfernt vom Aussehen des normalen Luke Filewalker.Ich hab das jeweils ganz schnell über den Taskmanager ausgeschaltet weil mir das spanisch vorkam.

Dann hab ich nen Avira-Suchlauf selber initiiert, und dabei kamen beide Meldungen wieder,diesmal mit der Meldung, dass die Dateien ins Quarantäneverzeichnis verschoben wurden.Vorerst war ich dann beruhigt.

Heute schalt ich den Rechner ein, dann kommt Avira plötzlich im Minutentakt mit folgender Meldung:
Ansonsten wieder dasselbe:Entfernen geklickt- und der "suchlauf" fing wieder an, den ich gestoppt hab.Das auffällige:Diese Meldung kam 6 mal durch, jedesmal identischer Text. Aber wenn ich jetzt ins Avira LOG reinschaue, steht die Meldung da 15mal drin, immer in den Minuten der mir gezeigten Meldung noch 1-2 mal.Gemeldet wurde alles vom Guard, und jedesmal Zugriff verweigert.Seit ner halben Std is plötzlich Ruhe.

Malwarebytes Anti-Malware hab ich damals schon drüberlaufen lassen, keine Meldung.Auch heute, also gerade eben, hab ich es die Datei "WINXP" durchsuchen lassen, noch in der Zeit in der ständig mein Avira alarm geschriien hat- keine Treffer, MBAM sagt "alles sauber".

Und zuletzt:
Als das vorhin losging mit den Meldungen, hab ich zum Ableich mein Avira-Log durchsucht, und folgende Einträge gefunden:
, diese 2mal mit verweigert, dann 1 mal mit erlaubt, gefolgt von 2 mal dem Eintrag
Nach rumhorchen hab ich mitbekommen dass da ein Kumpel von mir am Rechner war, er erzählt ungefähr dasselbe wie ich beim ersten Alarm vor einigen Tagen hatte...auf "Entfernen" gegangen als die Meldung kam, seltsamer Suchlauf, und auch er hat ihn per Taskmanager unterbrochen.

Fragen:
1.Wieso erlaubt Avira nen Zugriff?
2.Ist MBAM so unzuverlässig?
3.Was genau ist da passiert???
4.Ich bitte um Hilfe bei der Systembereinigung.


Ich surfe unter eingeschränktem Benutzerkonto.MBAM hat dammit beim Suchlauf keine Probleme, Lop SD hat am anfang vom Suchlauf massenhaft Fehlermeldungen gebracht,und dann kein Log abgespeichert,liegt das an den Viren oder am eingeschränkten Konto?Und RSIT meldet gleich dass es Adminrechte braucht.
Dazu folgende Frage:Wenn ich diese Suchläufe unter Adminrechten mache, besteht dann nicht die Gefahr dass die Malware, die ja bisher zumindest nicht allzuviel anrichten konnte, erst richtig zuschlägt, wenn sie plötzlich Adminrechte bekommt?
Das ist mir leider erst eingefallen, als ich mich kurz als Admin angemeldet hatte um die Scans zu machen, ich hab dann sofort den Rechner runtergefahren, kann da schon was passiert sein?

Was genau hat der da am PC gemacht? Wieso hatte er Adminrechte wenn Du keine zum normalen Arbeiten benutzt?

Dass Du eingeschränkte Rechte nutzt ist löblich, aber das System ist schon kompromittiert, denn wie sonst kann da ein Schädling im Windows-Ordner sein? Da hat ein normaler Benutzer keine Schreibrechte!

Wo "erlaubt" AntiVir irgendwas? Es ist bestimmt keine Absicht, dass virulente Dateien "erlaubt" werden, vielmehr ist es so, dass kein Virenscanner jemals zu 100% jeden Schädling finden kann!

Siehe oben, kein Tool findet zu 100% alle Schädlinge.
MBAM an sich ist ein sehr effizientes Anti-Malware-Tool.

Das weiß wohl nur Dein "Kumpel" (toller Kumpel, der shice auf Deinem Rechner ausführt :balla:)

Poste das Logfile von MBAM auch wenn keine Funde dabei waren.

Ähm...Das eingeschränkte Konto hab ich erst angelegt als diese erste Attacke vor einigen Tagen kam.
Kann´s sein dass der Rechner da schon was abbekommen hat?Den Zugangspass zum Adminkonto kennt er nicht mal.Oder später, als ich zwar beim surfen das eingeschränkte Konto hatte, aber kurz für die Scans in den Adminzugang rüber bin?Scheiss gemacht hat er ja nicht, zumindest net bewusst.Da haben wir ein bisschen nen Medienabend gemacht, die eine Hälfte is vor der PS gesessen, die andere hat rumgesurft.

Gefunden hat er ihn ja, aber "Zugriff erlaubt"?



Mich hat halt gewundert dass in eiunem Ordner, in dem Avira parmanent Meldungen bringt, Mbam nix findet.Falscher Typ für Mbam?

Hier das Logfile:

Zu diesem eigeninitiierten Suchlauf von Avira:Ist das wirklich eine Avira-Funktion?Bei den Meldungen, egal ob bei den ersten die ich gesehen hab, von der Webseite im Tempordner, oder jetzt, bei den Meldungen von der Malware unter WinXP,hat sofort ein Suchlauf begonnen, egal was ich angeklickt habe.aber nur ein kleines Kästschen, und ohne "beenden"-Taste.
Oder ist das die Malware die sich so tarnt oder ähnliches?Sah mir einfach komisch aus.

Passt irgendwie nicht zusammen.
Wenn Du das eingeschränkte Konto erst danach erstellt hast, wird er mit Adminrechten gesurft haben.

Automatisch oder hast Du den Zugriff abgenickt?


Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

So....hier die logfiles...in deinem link sind die Kästchen LOP und Ourity rechts unten angeklickt, in deiner Beschreibung erwähnst du nix davon...ich hab mal mit probiert:

[/CODE]OTL Logfile:
--- --- ---



[/CODE]OTL Logfile:
--- --- ---


Und hierzu gleich ne Frage: Im ersten Post les ich immer noch was von drei online-scans die ich vor Monaten mal gemacht hab, verbleiben die Geschichten auf em Rechner?Ich lasse regelmässig CCleaner durchlaufen, und habe nach diesen Scans auch nie wieder was mit den Seiten zu tun gehabt, wieso schwirren da immer noch Einträge auf meinem Rechner rum?

Ich wüsste nicht, dass ich den Zugriff abgenickt hab, hab lediglich ein oder zweimal gar nix angeklickt, oder erst sehr viel später "entfernen" geklickt, weil ich nachdem das kleine Suchfenster beim erstenmal aufging bei der 2.Meldung erstmal ein neues Tab aufgemacht hab und kurz gegoogelt hab ob ich was darüber finde.

Das war irgendwie nichts, bitte OTL nochmal ausführen und ein neues OTL-Log posten. Die drei o.g. Sektionen sind bei Dir leer, ist nicht normal.

Was für Online-Scans meinst Du da?

Selbes Ergebnis.Kann´s sein dass es daran liegt dass ich im eingeschränkten Konto bin?Kann ich bedenkenlos in´s Adminkonto wechseln?

Diese Einträge:

Die drei.Das waren online-Virenscans vor bestimmt nem halben Jahr oder so.Wobei ich mir bei letztem nicht sicher bin...

Oje, ich dachte das sollte eigentlich selbstverständlich sein, dass Du solche Analysetools nur mit Adminrechten ausführst! Ist doch logisch, dass man uneingeschränkten Zugriff aufs System braucht...

Deswegen hab ich ja extra gefragt ob das nicht die Gefahr birgt dass der Virus sich dann noch weiter ausbreitet oder in noch mehr Ordnern festsetzt.... :-D

Wenn Dein Rechner eh schon kompromittiert ist? :dummguck:
Wie willst Du mit eingeschränkten Rechten was aus dem Windows-Ordner löschen? :D


Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Ist das normal dass Der Fix die ganze Nacht mit 100% Auslastung am ackern ist?
Als ich morgens aufgewacht bin war er zwr fertig, aber als ich dann den Neustart bestätigt hab hat er sich vollends aufgehängt.
Hab das ganze dann nochmal durchlaufen lassen, da war´s ne Sache von 5 sek :-) sieht danach aus als ob es beim 1.mal erfolgreich war.Hier die Logs:

HAb dann gleich noch nen Suchlauf von Avira hinterher geschoben...irgendwie ist der aber in ne Dauerschleife gegangen, nach knapp anderthalb Std hab ich entnervt abgebrochen, da hat er ein und dieselbe Datei 5 mal gefunden.Hier das Log:

Die infizierte Datei wurde in in Quarantäne verschoben und ich hab sie dann aus der rausgelöscht.Muss ich mir um die versteckte Datei beim Rootkitscan Sorgen machen?

Log Mbam:

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Ähm...und nur mal so nebenher:Ich bemerke in den letzten Tagen, dass jedesmal wenn ich ein Apostroph setze- mit der Taste neben dem ß bzw ?- 2 Stück davon kommen.
Ohne darauf rumzureiten ob das jetzt Accents oder Apostrophe sind, früher ging es und es kam immer nur eins raus, jetzt immer doppelt.Ich hab schon gelesen das wäre die Auswirkung von dem einen oder anderen Virus/Trojaner, ist euch da was bekannt?

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.
=> das "xxx2" musst Du wieder in Deinen richtigen Benutzernamen umschreiben

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!