TR/Crypt.XPACK.Gen in AppData
 

Hallo!

Ich habe nun seit einigen Tagen bei Avira die Meldung, dass ein Trojaner gefunden wurde. Ich habe auch schon mehrere Versuche unternommen, ihn zu löschen, bzw. die beiden. Es sind zwei gleichnamige, aber in verschiedenen Datein. Ich habe auch schon den Thread hier gelesen, in dem es um den Gleichen / ähnlichen TR geht, aber ich kenne mich mit der Technik nicht so gut aus und brauche immer alles "Für Frauen erklärt". :crazy: ... Na ja ich habe mein System dann mal mit Malwarebytes und OLT gescannt und hier sind die Ergebnisse (ich habe leider vergessen Malwarebytes vorher auf neue Updates zu suchen und habe dann noch mal gescannt, aber dabei wurde nichts gefunden - Wobei mir auffällt, dass nur im IE gesucht wird und ich die meisten Probleme eigentlich bei FF bemerke :wtf: - Sollte ich noch mal einen großen Scan durchführen?) :


Malwarebytes' Anti-Malware 1.46
www*malwarebytes.org

Datenbank Version: 4052

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

15.10.2010 05:58:57
mbam-log-2010-10-15 (05-58-57).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 117288
Laufzeit: 10 Minute(n), 9 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\desktop sms (Worm.P2P) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Und die beiden von OTL:OTL Logfile:
--- --- ---
OTL Logfile:
--- --- ---



Liebe Grüße
Maybe

Hallo und :hallo:

Mach mal bitte einen Vollscan mit aktuellen Signaturen!

Aktuellen Signaturen?

Habe jetzt einen Vollscan gemacht, aber ich fürchte ohne vorher zu updaten, ich Honk. >.< Jedenfalls ginge es NOCH aktueller, wie ich eben festgestellt habe. :stirn:

Na ja, hier der Vollscan:


Malwarebytes' Anti-Malware 1.46
wwwmalwarebytes.org

Datenbank Version: 4826

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

17.10.2010 22:09:34
mbam-log-2010-10-17 (22-09-34).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 311053
Laufzeit: 2 Stunde(n), 29 Minute(n), 15 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)



Kann ich gar nicht verstehen. Ich bin mir sicher, dass hier noch was rumgeistert an TR. :headbang:

PS: Übrigens spinnt Google bei mir seit dem der TR da ist auch ein wenig. Ich kriege nur noch auf englisch alles, selbst wenn ich es umstelle. o.O Und wie gesagt, Firefox ist lahm und hakt oft... Deshalb glaube ich nicht, dass alles okay ist.

Gibt es noch weitere Logs von Malwarebytes? Wäre sehr sinnfrei, wenn Du das ohne Funde gepostet hättest!

Wir sind bei eigentlich bei Version 4861 :balla:

Ich habe jetzt gestern noch mal gescannt ber wieder keinen fund. Dabei hat Avira Antivir während des Scans einen TR gemeldet eben in AppData. Genau genommen hier: C:\Users\+++\AppData\Local\Temp\EADB02B.exe

Und das ist der Scann von Malwarebytes:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4885

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

20.10.2010 01:33:35
mbam-log-2010-10-20 (01-33-35).txt


Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 311920
Laufzeit: 2 Stunde(n), 23 Minute(n), 7 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


:balla:

Wieso bist Du eigentlich noch bei SP1/IE7? :wtf:

Bitte jetzt mal CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Ich bennutze den IE gar nicht, benutze Firefox und damit habe ich auch ein paar Probleme, vermute dass der auch nicht ganz sauber ist.

Und okay mache ich mal!

Und wie Du den nutzt. Nur weil Du kein offenes IE-Fenster hast, heißt das nicht, dass der nicht tief und fest im System verankert ist. Windows ohne IE geht im Grunde nicht, deswegen musst Du auch den ständig aktuell halten.

Das mit CClean ist kein Problem, das habe ich sogar noch aufm PC. Aber das cofi... das habe ich angemacht (vorher alles aus, auch avira den guard aus) und dann meinte der er scannt 10 min. - und nach 30 minuten habe ich mal nachgesehen und festgestellt, dass der sich komplett weggehängt hatte. :/ wollte den pc nämlich ausmachen, weil ich weg musste.

ist das normal, dass cofi so lange braucht (länger als 30 min.) und wieso hat sich da aufgehängt, bin ich da vorher ausversehen an die Maus gekommen? Hängt sich das dann auf? werde es später noch einmal versuchen!

Das kann vereinzelt vorkommen. Starte den Rechner neu, lösch die alte cofi.exe, lad CF neu runter als cofi und führ es nochmal aus nach Anleitung. CCleaner musst Du nicht nochmal anwenden.

Habe Cofi neu installiert und er hat auch gescannt. Aber ca nach 5 Minuten kam folgendes (der Bildschirm war komplett blau mit weißer Schrift):

A Problem has been detected and windows has to shut down in order to protect your computer

(oder so ähnlich, den Rest konnte ich nicht lesen, danach hat er Neustart gemacht...)

Was ist das bzw. was hat das nun zu bedeuten? :confused:

Lassen wir CF erstmal weg und probier es später nochmal.

Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Downloade Dir anschließend bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

GMER Log:
GMER Logfile:
--- --- ---

Der OSAM kommt gleich danach, den Scan starte ich gleich mal.

OSAM:
OSAM Logfile:
--- --- ---

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows Vista Home Premium Edition
Windows Information: Service Pack 1 (build 6001), 32-bit
Base Board Manufacturer: Intel Corp.
BIOS Manufacturer: INSYDE
System Manufacturer: TOSHIBA
System Product Name: Satellite L350
Logical Drives Mask: 0x00000034

Kernel Drivers (total 155):
0xE2005000 \SystemRoot\system32\ntkrnlpa.exe
0xE23BE000 \SystemRoot\system32\hal.dll
0xC5E0B000 \SystemRoot\system32\kdcom.dll
0xC5E13000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0xC5E73000 \SystemRoot\system32\PSHED.dll
0xC5E84000 \SystemRoot\system32\BOOTVID.dll
0xC5E8C000 \SystemRoot\system32\CLFS.SYS
0xC5ECD000 \SystemRoot\system32\CI.dll
0xC6005000 \SystemRoot\system32\drivers\Wdf01000.sys
0xC6081000 \SystemRoot\system32\drivers\WDFLDR.SYS
0xC608E000 \SystemRoot\system32\drivers\acpi.sys
0xC60D4000 \SystemRoot\system32\drivers\WMILIB.SYS
0xC60DD000 \SystemRoot\system32\drivers\msisadrv.sys
0xC60E5000 \SystemRoot\system32\drivers\pci.sys
0xC610C000 \SystemRoot\System32\drivers\partmgr.sys
0xC611B000 \SystemRoot\system32\DRIVERS\compbatt.sys
0xC611E000 \SystemRoot\system32\DRIVERS\BATTC.SYS
0xC6128000 \SystemRoot\system32\drivers\volmgr.sys
0xC6137000 \SystemRoot\System32\drivers\volmgrx.sys
0xC6181000 \SystemRoot\system32\drivers\intelide.sys
0xC6188000 \SystemRoot\system32\drivers\PCIIDEX.SYS
0xC6196000 \SystemRoot\System32\drivers\mountmgr.sys
0xC620C000 \SystemRoot\system32\DRIVERS\iaStor.sys
0xC62D4000 \SystemRoot\system32\drivers\atapi.sys
0xC62DC000 \SystemRoot\system32\drivers\ataport.SYS
0xC62FA000 \SystemRoot\system32\drivers\msahci.sys
0xC6304000 \SystemRoot\system32\drivers\fltmgr.sys
0xC6336000 \SystemRoot\system32\drivers\fileinfo.sys
0xC6346000 \SystemRoot\System32\Drivers\PxHelp20.sys
0xC634F000 \SystemRoot\System32\Drivers\ksecdd.sys
0xC640F000 \SystemRoot\system32\drivers\ndis.sys
0xC651A000 \SystemRoot\system32\drivers\msrpc.sys
0xC6545000 \SystemRoot\system32\drivers\NETIO.SYS
0xC6600000 \SystemRoot\System32\Drivers\Ntfs.sys
0xC670F000 \SystemRoot\system32\drivers\volsnap.sys
0xC6748000 \SystemRoot\system32\DRIVERS\TVALZ_O.SYS
0xC674D000 \SystemRoot\system32\DRIVERS\tos_sps32.sys
0xC6798000 \SystemRoot\System32\Drivers\spldr.sys
0xC67A0000 \SystemRoot\System32\Drivers\mup.sys
0xC67AF000 \SystemRoot\System32\drivers\ecache.sys
0xC67D6000 \SystemRoot\system32\drivers\disk.sys
0xC657F000 \SystemRoot\system32\drivers\CLASSPNP.SYS
0xC67E7000 \SystemRoot\system32\drivers\crcdisk.sys
0xC9CCF000 \SystemRoot\system32\DRIVERS\tunnel.sys
0xC9CDA000 \SystemRoot\system32\DRIVERS\tunmp.sys
0xC9CE3000 \SystemRoot\system32\DRIVERS\FwLnk.sys
0xC9CEB000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xC9CFA000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xCA40A000 \SystemRoot\system32\DRIVERS\igdkmd32.sys
0xCAA41000 \SystemRoot\System32\drivers\dxgkrnl.sys
0xCAAE0000 \SystemRoot\System32\drivers\watchdog.sys
0xCAAED000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xCAAF8000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xCAB36000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xCAB45000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xCAB57000 \SystemRoot\system32\DRIVERS\Rtlh86.sys
0xCAB74000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xCAB87000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xCAB92000 \SystemRoot\system32\DRIVERS\SynTP.sys
0xCABC1000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xCABC3000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xCABCE000 \SystemRoot\system32\DRIVERS\tdcmdpst.sys
0xCABD2000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xC9CFE000 \SystemRoot\system32\DRIVERS\msiscsi.sys
0xC9D2C000 \SystemRoot\system32\DRIVERS\storport.sys
0xCABEA000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xC9D6D000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xCABF5000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xC9D84000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xC9DA7000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xC9DB6000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xC9DCA000 \SystemRoot\system32\DRIVERS\rassstp.sys
0xCA400000 \SystemRoot\system32\DRIVERS\hamachi.sys
0xC9DDF000 \SystemRoot\system32\DRIVERS\termdd.sys
0xCA405000 \SystemRoot\system32\DRIVERS\swenum.sys
0xC65A0000 \SystemRoot\system32\DRIVERS\ks.sys
0xC9DEF000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xC65CA000 \SystemRoot\system32\DRIVERS\umbus.sys
0xC63C0000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xCA000000 \SystemRoot\system32\drivers\RTKVHDA.sys
0xC61A6000 \SystemRoot\system32\drivers\portcls.sys
0xC65D7000 \SystemRoot\system32\drivers\drmk.sys
0xC5FAD000 \SystemRoot\system32\DRIVERS\HSXHWAZL.sys
0xCAC0C000 \SystemRoot\system32\DRIVERS\HSX_DPV.sys
0xCAD0F000 \SystemRoot\system32\DRIVERS\HSX_CNXT.sys
0xCADC4000 \SystemRoot\system32\drivers\modem.sys
0xCADD1000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xCADE2000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xCADEB000 \SystemRoot\System32\Drivers\Null.SYS
0xCADF2000 \SystemRoot\System32\Drivers\Beep.SYS
0xCADF9000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xCAC00000 \SystemRoot\System32\drivers\vga.sys
0xC61D3000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0xCA1F5000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xC6400000 \SystemRoot\system32\drivers\rdpencdd.sys
0xC63F4000 \SystemRoot\System32\Drivers\Msfs.SYS
0xC5FEB000 \SystemRoot\System32\Drivers\Npfs.SYS
0xC6200000 \SystemRoot\System32\DRIVERS\rasacd.sys
0xCAE04000 \SystemRoot\System32\drivers\tcpip.sys
0xCAEED000 \SystemRoot\System32\drivers\fwpkclnt.sys
0xCAF08000 \SystemRoot\system32\DRIVERS\tdx.sys
0xCAF1E000 \SystemRoot\system32\DRIVERS\smb.sys
0xCAF32000 \SystemRoot\system32\drivers\afd.sys
0xCAF7A000 \SystemRoot\System32\DRIVERS\netbt.sys
0xCAFAC000 \SystemRoot\system32\DRIVERS\pacer.sys
0xCAFC2000 \SystemRoot\system32\DRIVERS\rtlprot.sys
0xCAFCC000 \SystemRoot\system32\DRIVERS\netbios.sys
0xCAFDA000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xCAFED000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xCB201000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xCB23D000 \SystemRoot\system32\drivers\nsiproxy.sys
0xCB247000 \SystemRoot\System32\Drivers\dfsc.sys
0xCB25E000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xCB27A000 \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys
0xCB27C000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xCB293000 \SystemRoot\System32\Drivers\UVCFTR_S.SYS
0xCB29C000 \SystemRoot\System32\Drivers\usbvideo.sys
0xCB2BD000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xCB2C6000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xCB2D6000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xCB2DE000 \SystemRoot\system32\DRIVERS\RTL8187B.sys
0xCB32E000 \SystemRoot\System32\Drivers\crashdmp.sys
0xC9C00000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0xD3090000 \SystemRoot\System32\win32k.sys
0xCB33B000 \SystemRoot\System32\drivers\Dxapi.sys
0xCB345000 \SystemRoot\system32\DRIVERS\monitor.sys
0xD32B0000 \SystemRoot\System32\TSDDD.dll
0xD32D0000 \SystemRoot\System32\cdd.dll
0xCB354000 \SystemRoot\system32\drivers\luafv.sys
0xCB36F000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xD8A0D000 \SystemRoot\system32\drivers\spsys.sys
0xD8ABC000 \SystemRoot\system32\DRIVERS\lltdio.sys
0xD8ACC000 \SystemRoot\system32\DRIVERS\nwifi.sys
0xD8AF6000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xD8B00000 \SystemRoot\system32\DRIVERS\rspndr.sys
0xD8B13000 \SystemRoot\system32\drivers\HTTP.sys
0xD8B80000 \SystemRoot\System32\DRIVERS\srvnet.sys
0xD8B9D000 \SystemRoot\system32\DRIVERS\bowser.sys
0xD8BB6000 \SystemRoot\System32\drivers\mpsdrv.sys
0xD8BCB000 \SystemRoot\system32\drivers\mrxdav.sys
0xCB383000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xCB3A2000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0xCB3DB000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0xDA20E000 \SystemRoot\System32\DRIVERS\srv2.sys
0xDA236000 \SystemRoot\System32\DRIVERS\srv.sys
0xDA284000 \SystemRoot\system32\DRIVERS\cdfs.sys
0xDA29A000 \SystemRoot\system32\DRIVERS\atksgt.sys
0xDA2DD000 \SystemRoot\system32\DRIVERS\lirsgt.sys
0xDA2E2000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys
0xDA2E6000 \SystemRoot\system32\drivers\peauth.sys
0xDA3C4000 \SystemRoot\System32\Drivers\secdrv.SYS
0xDA3CE000 \??\C:\Windows\system32\SVKP.sys
0xDA3CF000 \SystemRoot\System32\drivers\tcpipreg.sys
0xDA3DB000 \SystemRoot\system32\DRIVERS\xaudio.sys
0x77BC0000 \Windows\System32\ntdll.dll

Processes (total 89):
0 System Idle Process
4 System
444 C:\Windows\System32\smss.exe
592 csrss.exe
636 C:\Windows\System32\wininit.exe
648 csrss.exe
680 C:\Windows\System32\services.exe
692 C:\Windows\System32\lsass.exe
704 C:\Windows\System32\lsm.exe
780 C:\Windows\System32\winlogon.exe
896 C:\Windows\System32\svchost.exe
960 C:\Windows\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
1004 C:\Windows\System32\svchost.exe
1040 C:\Windows\System32\svchost.exe
1148 C:\Windows\System32\svchost.exe
1184 C:\Windows\System32\svchost.exe
1200 C:\Windows\System32\svchost.exe
1300 C:\Windows\System32\audiodg.exe
1336 C:\Windows\System32\SLsvc.exe
1376 C:\Windows\System32\svchost.exe
1480 C:\Windows\System32\svchost.exe
1676 C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
1856 C:\Windows\System32\spoolsv.exe
1880 C:\Program Files\Avira\AntiVir Desktop\sched.exe
1892 C:\Windows\System32\svchost.exe
436 C:\Windows\System32\dwm.exe
888 C:\Windows\System32\taskeng.exe
1428 C:\Windows\explorer.exe
1720 C:\Windows\System32\taskeng.exe
880 C:\Program Files\Windows Defender\MSASCui.exe
2076 C:\Windows\System32\igfxtray.exe
2112 C:\Windows\System32\hkcmd.exe
2152 C:\Windows\System32\igfxpers.exe
2168 C:\Windows\RtHDVCpl.exe
2196 C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
2228 C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
2248 C:\Program Files\McAfee.com\Agent\mcagent.exe
2272 C:\Windows\System32\igfxsrvc.exe
2300 C:\Program Files\Picasa2\PicasaMediaDetector.exe
2340 C:\Program Files\Camera Assistant Software for Toshiba\traybar.exe
2352 C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe
2368 C:\Program Files\TOSHIBA\SmoothView\SmoothView.exe
2408 C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe
2444 C:\Program Files\Common Files\Real\Update_OB\realsched.exe
2452 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
2480 C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe
2500 C:\Program Files\Common Files\Java\Java Update\jusched.exe
2528 C:\Program Files\Windows Sidebar\sidebar.exe
2536 C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe
2556 C:\Program Files\Windows Live\Messenger\msnmsgr.exe
2576 C:\Program Files\Vidalia Bundle\Vidalia\vidalia.exe
2608 C:\Program Files\ICQ6.5\ICQ.exe
2744 C:\Program Files\Skype\Phone\Skype.exe
2752 C:\Program Files\Windows Media Player\wmpnscfg.exe
2764 C:\Program Files\Vidalia Bundle\Privoxy\privoxy.exe
2868 C:\Program Files\Camera Assistant Software for Toshiba\CEC_MAIN.exe
2880 C:\Program Files\OpenOffice.org 3\program\soffice.exe
2944 C:\Program Files\OpenOffice.org 3\program\soffice.bin
3144 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
3172 C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
3216 C:\Program Files\LogMeIn Hamachi\hamachi-2.exe
3308 C:\Program Files\ICQ6Toolbar\ICQ Service.exe
3372 C:\Windows\System32\svchost.exe
3384 C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
3416 C:\Windows\System32\svchost.exe
3436 C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe
3524 C:\Windows\System32\TODDSrv.exe
3536 C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
3560 C:\Program Files\TOSHIBA\SMARTLogService\TosIPCSrv.exe
3632 C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
3660 C:\Windows\System32\svchost.exe
3680 C:\Windows\System32\SearchIndexer.exe
3708 C:\Windows\System32\drivers\XAudio.exe
1240 C:\Program Files\Vidalia Bundle\Tor\tor.exe
3624 C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
3064 C:\Program Files\Windows Media Player\wmpnetwk.exe
2084 C:\Program Files\TOSHIBA\ConfigFree\CFSwMgr.exe
5284 C:\Program Files\Skype\Plugin Manager\skypePM.exe
5352 C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
4948 C:\Program Files\Mozilla Firefox\firefox.exe
4324 C:\PROGRA~1\COMMON~1\McAfee\MNA\McNASvc.exe
4476 C:\PROGRA~1\McAfee\MSC\mcuimgr.exe
5612 C:\Windows\System32\wuauclt.exe
6132 C:\Windows\servicing\TrustedInstaller.exe
3480 C:\Windows\System32\SearchProtocolHost.exe
5208 dllhost.exe
5432 dllhost.exe
5916 C:\Users\Michelle\Desktop\MBRCheck.exe
5776 C:\Windows\System32\conime.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`5dd00000 (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x0000001d`75800000 (NTFS)

PhysicalDrive0 Model Number: TOSHIBAMK2546GSX, Rev: LB013M

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 Windows 2008 MBR code detected
SHA1: 8DF43F2BDE2D9451948FA14B5279969C777A7979


Done!

Sieht an für sich ok aus. Probier bitte CF nochmal mit einer neuen cofi.exe

cofi ist wieder abgestürzt, also der PC meinte wieder da wäre ein Problem und hat Neustart gemacht. Muss ich das Internet auch ausmachen? Habe es dieses Mal angelassen und nur alle Programme, Avira und Internetbrowser zugemacht. Gibt es sonst eine Alternative zu cofi?

Finden wir uns erstmal damit ab, dass CF nicht läuft :balla:
Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 5039

Windows 6.0.6001 Service Pack 1
Internet Explorer 8.0.6001.18975

04.11.2010 04:10:53
mbam-log-2010-11-04 (04-10-53).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 311450
Laufzeit: 1 Stunde(n), 54 Minute(n), 7 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Den Srperantispyware mache ich später noch nach, das scannen dauert ja leider so lange.

übrigens; beim scannen der appdata (mit malwarebytes) hat avira wieder die trojanerfunde gemeldet. also da sind sie auf jeden fall noch, nur verstecken die sich scheinbar gut?!

Bei Virenfunden musst Du immer alle Details posten!!
Schau ins Log von Antivir und poste relevante Infos.

Avira hat folgendes dazu gesagt:

In der Datei 'C:\Users\+++\AppData\Local\Temp\EADA469.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.

In der Datei 'C:\Users\+++\AppData\Local\Temp\EAD2184.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.

In der Datei 'C:\Users\+++\AppData\Local\Temp\EADC59F.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.

In der Datei 'C:\Users\+++\AppData\Local\Temp\EADC512.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.

:S

SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com | Remove Malware | Remove Spyware - AntiMalware, AntiSpyware, AntiAdware!

Generated 11/04/2010 at 07:32 PM

Application Version : 4.45.1000

Core Rules Database Version : 5810
Trace Rules Database Version: 3622

Scan type : Complete Scan
Total Scan Time : 02:09:03

Memory items scanned : 830
Memory threats detected : 0
Registry items scanned : 8496
Registry threats detected : 12
File items scanned : 174105
File threats detected : 8

Neopets Toolbar
HKLM\Software\Classes\CLSID\{CD292324-974F-4224-D074-CACA427AA030}
HKCR\CLSID\{CD292324-974F-4224-D074-CACA427AA030}
HKCR\CLSID\{CD292324-974F-4224-D074-CACA427AA030}
HKCR\CLSID\{CD292324-974F-4224-D074-CACA427AA030}\InprocServer32
HKCR\CLSID\{CD292324-974F-4224-D074-CACA427AA030}\InprocServer32#ThreadingModel
HKCR\CLSID\{CD292324-974F-4224-D074-CACA427AA030}\ProgID
HKCR\Toolbar.Neopets
HKCR\Toolbar.Neopets\Clsid
C:\PROGRA~1\NEOPETS\TOOLBAR\TOOLBAR.DLL
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CD292324-974F-4224-D074-CACA427AA030}
HKU\S-1-5-21-2050151488-740253392-1122047962-1000\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{CD292324-974F-4224-D074-CACA427AA030}
HKLM\Software\Microsoft\Internet Explorer\Toolbar#{CD292324-974F-4224-D074-CACA427AA030}
HKU\S-1-5-21-2050151488-740253392-1122047962-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser#{CD292324-974F-4224-D074-CACA427AA030}

Adware.Tracking Cookie
C:\Users\+++\AppData\Roaming\Microsoft\Windows\Cookies\+++@doubleclick[2].txt
C:\Users\+++\AppData\Roaming\Microsoft\Windows\Cookies\+++@atdmt[1].txt
C:\Users\+++\AppData\Roaming\Microsoft\Windows\Cookies\+++@serving-sys[2].txt
C:\Users\+++\AppData\Roaming\Microsoft\Windows\Cookies\+++@bs.serving-sys[1].txt
C:\Users\+++\AppData\Roaming\Microsoft\Windows\Cookies\+++@revsci[1].txt

Trojan.Agent/Gen
C:\COFI717C\MBR.CFXXE

Trojan.Agent/Gen-Cryptor[Virut]
C:\TOSHIBA\WEBSHOPS\ADDEBAYTOOLBARBUTTON.EXE

PS: Habe nach dem Scann aus Versehen schon auf Weiter geklickt und kriege nun die Meldung, ich soll den PC Neustarten. :/ Habe ich da einen Fehler gemacht oder war das okay?

Bei SASW waren einige Fehlalarm mit bei.
Werden ständig Funde von AntiVir im Temp-Ordner gemeldet?

Ja! Seit Wochen meldet er mir diese Trojaner und egal wie oft ich sie in Quarantäne verschiebe, es kommt immer wieder eine neue Fehlermeldung am nächsten Tag (spätestens).

Und SUPERAntiSpyware hat jetzt ja die Funde gelöscht, man kann aber noch auf abbrechen drücken. Soll ich das, oder war es nicht schlimm dass ich nach dem Scann sofort auf Weiter geklickt habe?

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

OTL Logfile:
--- --- ---

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

All processes killed
========== OTL ==========
Service LckFldService stopped successfully!
Service LckFldService deleted successfully!
File C:\Windows\System32\LckFldService.exe File not found not found.
Service jnv4_mib stopped successfully!
Service jnv4_mib deleted successfully!
File C:\Users\***\AppData\Local\Temp\jnv4_mib.sys File not found not found.
Prefs.js: "" removed from network.proxy.backup.ftp
Prefs.js: 0 removed from network.proxy.backup.ftp_port
Prefs.js: "" removed from network.proxy.backup.gopher
Prefs.js: 0 removed from network.proxy.backup.gopher_port
Prefs.js: "" removed from network.proxy.backup.socks
Prefs.js: 0 removed from network.proxy.backup.socks_port
Prefs.js: "" removed from network.proxy.backup.ssl
Prefs.js: 0 removed from network.proxy.backup.ssl_port
Prefs.js: "222.18.54.37" removed from network.proxy.ftp
Prefs.js: "222.18.54.37" removed from network.proxy.gopher
Prefs.js: "222.18.54.37" removed from network.proxy.http
Prefs.js: true removed from network.proxy.share_proxy_settings
Prefs.js: "222.18.54.37" removed from network.proxy.socks
Prefs.js: "222.18.54.37" removed from network.proxy.ssl
Prefs.js: 1 removed from network.proxy.type
C:\Windows\System32\Mlkf.dll moved successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: ***
->Temp folder emptied: 41703491 bytes
->Temporary Internet Files folder emptied: 147084577 bytes
->Java cache emptied: 9015124 bytes
->FireFox cache emptied: 33627896 bytes
->Opera cache emptied: 28484276 bytes
->Flash cache emptied: 10839 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 548636 bytes
RecycleBin emptied: 50359513 bytes

Total Files Cleaned = 296,00 mb


OTL by OldTimer - Version 3.2.15.2 log created on 11042010_224012

Files\Folders moved on Reboot...
File\Folder C:\Windows\temp\mcmsc_INiHCEZm8UA4PEJ not found!

Registry entries deleted on Reboot...


Kurz nach dem Neustart hat Avira wieder folgendes gemeldet:

In der Datei 'C:\Users\***\AppData\Local\Temp\EAD29FC.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.

Seit wann genau hast Du die Funde mit diesen EAD*.exe Dateien im Tempordner? Schon von Anfang an?
AntiVir hatte immer ähnliche Meldungen wenn der SpywareDoctor installiert war und seine temp. Dateien erstellt hat - da ist AntiVir auch immer mit XPACK angesprungen.

Nein, noch nicht von Anfang an. "Erst" seit ein paar Wochen, vielleicht einem Monat? Und dann in unregelmäßigen Abständen immer wieder die Warnung.

Deinstallier mal alles von McAfee und berichte ob es besser geworden ist.

Hab ich gemacht und kurz nach dem Neustart kam von Avira folgende Meldung:

In der Datei 'C:\Users\***\AppData\Local\Temp\EAD63E0.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.

Was auffällt, es sind immer andere Datein die betroffen sind, also EA und dann irgendwas dahinter, aber irgendwie immer andere. :/

Kannst Du mal drei dieser Dateien bei uns hochladen? Evtl. vor dem Upload AntiVir deaktivieren, damit der Zugriff nicht gesperrt wird auf diese Dateien. => http://www.trojaner-board.de/54791-a...ner-board.html

Habe ich gemacht und festgestellt, dass in der AppData/Temp noch mehr solcher Datein sind. Als ich das letzte mal geguckt habe, war da nur eine und nun ca 5, 7 und eine die mit F anfing, statt mit E. :crazy:

Die Dateien sind leer. hast Du den Virenscanner vor dem Upload deaktiviert?

Hab noch mal eine hochgeladen! Die anderen, die ich gefunden und eben hochgeladen habe, waren kein .exe sondern andere Datein die leer waren, vielleicht schon die gelöschten? Die jetzt hochgeladene sollte die richtige sein und davon gab es auch nur noch eine!

VirusTotal - Free Online Virus, Malware and URL Scanner

Und die ist sauber...
Andere Tempdateien mit ähnlichen Dateinamen gibt es nicht mehr? :confused:

nur eine namens SSUPDATE.exe und massig leere .tmp Datein und zwei .log und sonst habe ich im Temp Ordner nichts mehr gesehen!

Und AntiVir beschwert sich jetzt auch nicht mehr dauernd über EXE-Dateien im Tempordner, die mit EAD anfangen? (EAD*.EXE) :wtf:

Doch, kurz nach dem Hochfahren kam folgende Meldung:

In der Datei 'C:\Users\***\AppData\Local\Temp\EAD144A.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

Aber die Datei ist leer, wenn ich im Temp Ordner nachsehe

Hm, deinstallier AntiVir testweise mal und starte den Rechner neu.
Schau danach in den Tempordner rein und sieht nach ob diese Dateien wieder drin sind und wenn ja welche Größe sie haben. Sollten die ead*.exe Dateien >0 Byte (also nicht leer) sein dann bitte drei Stück davon hier hochladen.

erledigt. nun ist da noch eine aufgetaucht. habe beide hochgeladen (die eine muss die alte von gestern sein?)

Lt. VT ist auch die andere sauber => VirusTotal - Free Online Virus, Malware and URL Scanner

aber ich kriege komischerweise immer noch meldungen von AV. :/ eben gerade folgendes:

C:\Users\***\AppData\Local\Temp\EADC023.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan].

Und sobald ich den AppData öffne kriege ich auch die Meldung. Habe die Datei mal hochgeladen. Aber nachdem ich die dann - wie von AntiVir empfohlen - lösche, scheinen die leer zu sein. Habe noch zwei andere hochgeladen, die einzigen die nicht leer waren. Hoffe das sind nicht die, die ich damals schon hochgeladen habe.

Das Ganze verwirrt mich alles total! Mein Antivir macht jeden Tag eine Meldung von einer neuen Datei, die vorher auch noch nicht da war! Und wenn ich die dann lösche, ist sie leer und am nächsten Tag eine neue da!

Probier mal dieses Tool hier aus => http://www.trojaner-board.de/83997-k...scue-disk.html
Evtl. findet Kaspersky aus einer sauberen Umgebung mehr.

Kann ich mal versuchen. Ich habe jetzt aber mal eine dieser Malware-Datein wie das neue Avira sie nennt, hochgeladen, bevor ich sie über Avira entfernt habe. Vielleicht erkennt man da genauer, was es ist?

Das hört gerade gar nicht mehr auf. dauernd kommen neue meldungen. war jetzt ein paar tage nicht am pc und nun geht es hier los. ich lade mal die von heute hoch, die sich nicht löschen lässt. habe schon ganz oft auf entfernen geklickt, aber die datei ist noch da und die Antivir meldung kommt auch dauernd wieder. also im 10-20 minuten abstand.

Mach mal einen neuen Durchgang mit CF, die cofi.exe neu runterladen!!


ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Combofix Logfile:
--- --- ---

CF hat schon wieder was gelöscht :teufel2:
Mach bitte neue Logs mit GMER, OSAM und MBRcheck

Beim GMER-Scan hat mein PC leider beschlossen einen Neustart zu machen, den ich nicht schnell genug verhindern konnte, also kommt erst mal nur der Log von OSAM:
OSAM Logfile:
--- --- ---

MBRCheck brauch ich nochmal.

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows Vista Home Premium Edition
Windows Information: Service Pack 1 (build 6001), 32-bit
Base Board Manufacturer: Intel Corp.
BIOS Manufacturer: INSYDE
System Manufacturer: TOSHIBA
System Product Name: Satellite L350
Logical Drives Mask: 0x00000034

Kernel Drivers (total 156):
0xE2046000 \SystemRoot\system32\ntkrnlpa.exe
0xE2013000 \SystemRoot\system32\hal.dll
0xC5E0E000 \SystemRoot\system32\kdcom.dll
0xC5E16000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0xC5E76000 \SystemRoot\system32\PSHED.dll
0xC5E87000 \SystemRoot\system32\BOOTVID.dll
0xC5E8F000 \SystemRoot\system32\CLFS.SYS
0xC5ED0000 \SystemRoot\system32\CI.dll
0xC6009000 \SystemRoot\system32\drivers\Wdf01000.sys
0xC6085000 \SystemRoot\system32\drivers\WDFLDR.SYS
0xC6092000 \SystemRoot\system32\drivers\acpi.sys
0xC60D8000 \SystemRoot\system32\drivers\WMILIB.SYS
0xC60E1000 \SystemRoot\system32\drivers\msisadrv.sys
0xC60E9000 \SystemRoot\system32\drivers\pci.sys
0xC6110000 \SystemRoot\System32\drivers\partmgr.sys
0xC611F000 \SystemRoot\system32\DRIVERS\compbatt.sys
0xC6122000 \SystemRoot\system32\DRIVERS\BATTC.SYS
0xC612C000 \SystemRoot\system32\drivers\volmgr.sys
0xC613B000 \SystemRoot\System32\drivers\volmgrx.sys
0xC6185000 \SystemRoot\system32\drivers\intelide.sys
0xC618C000 \SystemRoot\system32\drivers\PCIIDEX.SYS
0xC619A000 \SystemRoot\System32\drivers\mountmgr.sys
0xC6206000 \SystemRoot\system32\DRIVERS\iaStor.sys
0xC62CE000 \SystemRoot\system32\drivers\atapi.sys
0xC62D6000 \SystemRoot\system32\drivers\ataport.SYS
0xC62F4000 \SystemRoot\system32\drivers\msahci.sys
0xC62FE000 \SystemRoot\system32\drivers\fltmgr.sys
0xC6330000 \SystemRoot\system32\drivers\fileinfo.sys
0xC6340000 \SystemRoot\System32\Drivers\PxHelp20.sys
0xC6349000 \SystemRoot\System32\Drivers\ksecdd.sys
0xC640E000 \SystemRoot\system32\drivers\ndis.sys
0xC6519000 \SystemRoot\system32\drivers\msrpc.sys
0xC6544000 \SystemRoot\system32\drivers\NETIO.SYS
0xC6605000 \SystemRoot\System32\Drivers\Ntfs.sys
0xC6714000 \SystemRoot\system32\drivers\volsnap.sys
0xC674D000 \SystemRoot\system32\DRIVERS\TVALZ_O.SYS
0xC6752000 \SystemRoot\system32\DRIVERS\tos_sps32.sys
0xC679D000 \SystemRoot\System32\Drivers\spldr.sys
0xC67A5000 \SystemRoot\System32\Drivers\mup.sys
0xC67B4000 \SystemRoot\System32\drivers\ecache.sys
0xC67DB000 \SystemRoot\system32\drivers\disk.sys
0xC657E000 \SystemRoot\system32\drivers\CLASSPNP.SYS
0xC67EC000 \SystemRoot\system32\drivers\crcdisk.sys
0xC9ECC000 \SystemRoot\system32\DRIVERS\tunnel.sys
0xC9ED7000 \SystemRoot\system32\DRIVERS\tunmp.sys
0xC9EE0000 \SystemRoot\system32\DRIVERS\FwLnk.sys
0xC9EE8000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xC9EF7000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xCA808000 \SystemRoot\system32\DRIVERS\igdkmd32.sys
0xCAE3F000 \SystemRoot\System32\drivers\dxgkrnl.sys
0xCAEDE000 \SystemRoot\System32\drivers\watchdog.sys
0xCAEEB000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xCAEF6000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xCAF34000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xCAF43000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xCAF55000 \SystemRoot\system32\DRIVERS\Rtlh86.sys
0xCAF72000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xCAF85000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xCAF90000 \SystemRoot\system32\DRIVERS\SynTP.sys
0xCAFBF000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xCAFC1000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xCAFCC000 \SystemRoot\system32\DRIVERS\tdcmdpst.sys
0xCAFD0000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xC9EFB000 \SystemRoot\system32\DRIVERS\msiscsi.sys
0xC9F29000 \SystemRoot\system32\DRIVERS\storport.sys
0xCAFE8000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xC9F6A000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xCAFF3000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xC9F81000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xC9FA4000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xC9FB3000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xC9FC7000 \SystemRoot\system32\DRIVERS\rassstp.sys
0xCA800000 \SystemRoot\system32\DRIVERS\hamachi.sys
0xC9FDC000 \SystemRoot\system32\DRIVERS\termdd.sys
0xCA805000 \SystemRoot\system32\DRIVERS\swenum.sys
0xC65AC000 \SystemRoot\system32\DRIVERS\ks.sys
0xC9FEC000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xC65D6000 \SystemRoot\system32\DRIVERS\umbus.sys
0xC63BA000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xCA400000 \SystemRoot\system32\drivers\RTKVHDA.sys
0xC61AA000 \SystemRoot\system32\drivers\portcls.sys
0xC61D7000 \SystemRoot\system32\drivers\drmk.sys
0xC5FB0000 \SystemRoot\system32\DRIVERS\HSXHWAZL.sys
0xCB008000 \SystemRoot\system32\DRIVERS\HSX_DPV.sys
0xCB10B000 \SystemRoot\system32\DRIVERS\HSX_CNXT.sys
0xCB1C0000 \SystemRoot\system32\drivers\modem.sys
0xCB1CD000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xCB1DE000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xCB1E7000 \SystemRoot\System32\Drivers\Null.SYS
0xCB1EE000 \SystemRoot\System32\Drivers\Beep.SYS
0xCB000000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xC65E3000 \SystemRoot\System32\drivers\vga.sys
0xCB400000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0xCB421000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xCB429000 \SystemRoot\system32\drivers\rdpencdd.sys
0xCB431000 \SystemRoot\System32\Drivers\Msfs.SYS
0xCB43C000 \SystemRoot\System32\Drivers\Npfs.SYS
0xCB44A000 \SystemRoot\System32\DRIVERS\rasacd.sys
0xCB453000 \SystemRoot\System32\drivers\tcpip.sys
0xCB53C000 \SystemRoot\System32\drivers\fwpkclnt.sys
0xCB557000 \SystemRoot\system32\DRIVERS\tdx.sys
0xCB56D000 \SystemRoot\system32\DRIVERS\smb.sys
0xCB581000 \SystemRoot\system32\drivers\afd.sys
0xCB5C9000 \SystemRoot\System32\DRIVERS\netbt.sys
0xCB20E000 \SystemRoot\system32\DRIVERS\pacer.sys
0xCB224000 \SystemRoot\system32\DRIVERS\rtlprot.sys
0xCB22E000 \SystemRoot\system32\DRIVERS\netbios.sys
0xCB23C000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xCB24F000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xCB255000 \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.SYS
0xCB277000 \??\C:\Program Files\SUPERAntiSpyware\SASDIFSV.SYS
0xCB27D000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xCB2B9000 \SystemRoot\system32\drivers\nsiproxy.sys
0xCB2C3000 \SystemRoot\System32\Drivers\dfsc.sys
0xCB2DA000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xCB300000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xCB317000 \SystemRoot\System32\Drivers\UVCFTR_S.SYS
0xCB320000 \SystemRoot\System32\Drivers\usbvideo.sys
0xCB341000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xCB34A000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xCB35A000 \SystemRoot\system32\DRIVERS\RTL8187B.sys
0xCB3AA000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xCB3B2000 \SystemRoot\System32\Drivers\crashdmp.sys
0xC9E00000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0xD0640000 \SystemRoot\System32\win32k.sys
0xCB3BF000 \SystemRoot\System32\drivers\Dxapi.sys
0xCB3C9000 \SystemRoot\system32\DRIVERS\monitor.sys
0xD0860000 \SystemRoot\System32\TSDDD.dll
0xD0880000 \SystemRoot\System32\cdd.dll
0xCB3D8000 \SystemRoot\system32\drivers\luafv.sys
0xD7403000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xD7418000 \SystemRoot\system32\drivers\spsys.sys
0xD74C7000 \SystemRoot\system32\DRIVERS\lltdio.sys
0xD74D7000 \SystemRoot\system32\DRIVERS\nwifi.sys
0xD7501000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xD750B000 \SystemRoot\system32\DRIVERS\rspndr.sys
0xD751E000 \SystemRoot\system32\drivers\HTTP.sys
0xD758B000 \SystemRoot\System32\DRIVERS\srvnet.sys
0xD75A8000 \SystemRoot\system32\DRIVERS\bowser.sys
0xD75C1000 \SystemRoot\System32\drivers\mpsdrv.sys
0xD75D6000 \SystemRoot\system32\drivers\mrxdav.sys
0xDA40B000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xDA42A000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0xDA463000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0xDA47B000 \SystemRoot\System32\DRIVERS\srv2.sys
0xDA4A3000 \SystemRoot\System32\DRIVERS\srv.sys
0xDA4F1000 \SystemRoot\system32\DRIVERS\atksgt.sys
0xDA534000 \SystemRoot\system32\DRIVERS\lirsgt.sys
0xDA539000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys
0xDBE01000 \SystemRoot\system32\drivers\peauth.sys
0xDBEDF000 \SystemRoot\System32\Drivers\secdrv.SYS
0xDBEE9000 \??\C:\Windows\system32\SVKP.sys
0xDBEEA000 \SystemRoot\System32\drivers\tcpipreg.sys
0xDBEF6000 \SystemRoot\system32\DRIVERS\xaudio.sys
0xDBEFE000 \SystemRoot\system32\DRIVERS\cdfs.sys
0x77150000 \Windows\System32\ntdll.dll

Processes (total 86):
0 System Idle Process
4 System
460 C:\Windows\System32\smss.exe
592 csrss.exe
636 csrss.exe
644 C:\Windows\System32\wininit.exe
680 C:\Windows\System32\services.exe
696 C:\Windows\System32\lsass.exe
704 C:\Windows\System32\lsm.exe
752 C:\Windows\System32\winlogon.exe
892 C:\Windows\System32\svchost.exe
956 C:\Windows\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
1000 C:\Windows\System32\svchost.exe
1036 C:\Windows\System32\svchost.exe
1128 C:\Windows\System32\svchost.exe
1180 C:\Windows\System32\svchost.exe
1224 C:\Windows\System32\svchost.exe
1300 C:\Windows\System32\audiodg.exe
1324 C:\Windows\System32\svchost.exe
1348 C:\Windows\System32\SLsvc.exe
1416 C:\Windows\servicing\TrustedInstaller.exe
1456 C:\Windows\System32\svchost.exe
1600 C:\Windows\System32\svchost.exe
1736 C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
1900 C:\Windows\System32\spoolsv.exe
1924 C:\Program Files\Avira\AntiVir Desktop\sched.exe
1936 C:\Windows\System32\svchost.exe
476 C:\Windows\System32\taskeng.exe
640 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
700 C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
1376 C:\Program Files\LogMeIn Hamachi\hamachi-2.exe
1944 C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
1984 C:\Program Files\ICQ6Toolbar\ICQ Service.exe
1540 C:\Windows\System32\svchost.exe
852 C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
676 C:\Windows\System32\svchost.exe
1532 C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe
2068 C:\Windows\System32\TODDSrv.exe
2092 C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
2116 C:\Program Files\TOSHIBA\SMARTLogService\TosIPCSrv.exe
2196 C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
2224 C:\Windows\System32\svchost.exe
2256 C:\Windows\System32\SearchIndexer.exe
2276 C:\Windows\System32\drivers\XAudio.exe
3124 C:\Windows\System32\dwm.exe
3132 C:\Windows\System32\taskeng.exe
3184 C:\Windows\explorer.exe
3580 C:\Windows\System32\igfxtray.exe
3588 C:\Windows\System32\hkcmd.exe
3604 C:\Windows\System32\igfxsrvc.exe
3660 C:\Windows\System32\igfxpers.exe
3716 C:\Windows\RtHDVCpl.exe
3764 C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
3772 C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
3824 C:\Program Files\Picasa2\PicasaMediaDetector.exe
3852 C:\Program Files\Camera Assistant Software for Toshiba\traybar.exe
3872 C:\Program Files\Common Files\Real\Update_OB\realsched.exe
3920 C:\Program Files\Common Files\Java\Java Update\jusched.exe
3932 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
3968 C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe
4004 C:\Program Files\Windows Sidebar\sidebar.exe
4012 C:\Program Files\Windows Live\Messenger\msnmsgr.exe
4036 C:\Program Files\Vidalia Bundle\Vidalia\vidalia.exe
1220 C:\Program Files\Camera Assistant Software for Toshiba\CEC_MAIN.exe
2252 C:\Program Files\Skype\Phone\Skype.exe
2520 C:\Program Files\Windows Media Player\wmpnscfg.exe
556 C:\Program Files\SUPERAntiSpyware\SUPERANTISPYWARE.EXE
1552 C:\Program Files\TOSHIBA\ConfigFree\CFSwMgr.exe
1764 C:\Program Files\ICQ6.5\ICQ.exe
2816 C:\Program Files\Vidalia Bundle\Privoxy\privoxy.exe
2860 C:\Program Files\Windows Media Player\wmpnetwk.exe
2800 C:\Program Files\OpenOffice.org 3\program\soffice.exe
3536 C:\Program Files\OpenOffice.org 3\program\soffice.bin
3884 C:\Windows\System32\WerFault.exe
1972 C:\Program Files\Vidalia Bundle\Tor\tor.exe
4160 C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
4328 C:\Program Files\Windows Live\Contacts\wlcomm.exe
4512 C:\Program Files\Skype\Plugin Manager\skypePM.exe
4252 C:\Windows\System32\wuauclt.exe
5720 C:\Program Files\Mozilla Firefox\firefox.exe
4944 C:\Windows\System32\SearchProtocolHost.exe
4228 C:\Windows\System32\SearchFilterHost.exe
2780 dllhost.exe
4284 dllhost.exe
5116 C:\Users\Michelle\Desktop\MBRCheck.exe
1916 C:\Windows\System32\conime.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`5dd00000 (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x0000001d`75800000 (NTFS)

PhysicalDrive0 Model Number: TOSHIBAMK2546GSX, Rev: LB013M

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 Windows 2008 MBR code detected
SHA1: 8DF43F2BDE2D9451948FA14B5279969C777A7979


Done!

GMER ist mir jetzt schon öfter abgestürzt. Das Programm reagiert nicht mehr, stand in der Meldung. Dann konnte man es nur noch schließen. Ist der Log sehr wichtig? Dann versuche ich es noch ein paar mal.

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com | Remove Malware | Remove Spyware - AntiMalware, AntiSpyware, AntiAdware!

Generated 11/04/2010 at 07:32 PM

Application Version : 4.45.1000

Core Rules Database Version : 5810
Trace Rules Database Version: 3622

Scan type : Complete Scan
Total Scan Time : 02:09:03

Memory items scanned : 830
Memory threats detected : 0
Registry items scanned : 8496
Registry threats detected : 12
File items scanned : 174105
File threats detected : 8

Neopets Toolbar
HKLM\Software\Classes\CLSID\{CD292324-974F-4224-D074-CACA427AA030}
HKCR\CLSID\{CD292324-974F-4224-D074-CACA427AA030}
HKCR\CLSID\{CD292324-974F-4224-D074-CACA427AA030}
HKCR\CLSID\{CD292324-974F-4224-D074-CACA427AA030}\InprocServer32
HKCR\CLSID\{CD292324-974F-4224-D074-CACA427AA030}\InprocServer32#ThreadingModel
HKCR\CLSID\{CD292324-974F-4224-D074-CACA427AA030}\ProgID
HKCR\Toolbar.Neopets
HKCR\Toolbar.Neopets\Clsid
C:\PROGRA~1\NEOPETS\TOOLBAR\TOOLBAR.DLL
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CD292324-974F-4224-D074-CACA427AA030}
HKU\S-1-5-21-2050151488-740253392-1122047962-1000\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{CD292324-974F-4224-D074-CACA427AA030}
HKLM\Software\Microsoft\Internet Explorer\Toolbar#{CD292324-974F-4224-D074-CACA427AA030}
HKU\S-1-5-21-2050151488-740253392-1122047962-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser#{CD292324-974F-4224-D074-CACA427AA030}

Adware.Tracking Cookie
C:\Users\Michelle\AppData\Roaming\Microsoft\Windows\Cookies\michelle@doubleclick[2].txt
C:\Users\Michelle\AppData\Roaming\Microsoft\Windows\Cookies\michelle@atdmt[1].txt
C:\Users\Michelle\AppData\Roaming\Microsoft\Windows\Cookies\michelle@serving-sys[2].txt
C:\Users\Michelle\AppData\Roaming\Microsoft\Windows\Cookies\michelle@bs.serving-sys[1].txt
C:\Users\Michelle\AppData\Roaming\Microsoft\Windows\Cookies\michelle@revsci[1].txt

Trojan.Agent/Gen
C:\COFI717C\MBR.CFXXE

Trojan.Agent/Gen-Cryptor[Virut]
C:\TOSHIBA\WEBSHOPS\ADDEBAYTOOLBARBUTTON.EXE

Ein paar Überreste, Fehlalarme und Cookies.
Noch Probleme offen oder alles ok jetzt?

Und muss ich noch was machen, die Objekte sind ja jetzt erst nur in Quarantäne, muss ich die noch löschen? Momentan scheint alles okay zu sein. Bis auf mein FF, den ich aber durch Google Chrome ersetzt habe. Und irgendein Update scheint mein PC nicht vervollständigen zu können. Immer beim Hochfahren kommt da Schritt 3 zu 0 % erledigt. Und das kommt seit Tagen und klappt wohl nicht so richtig.

Davon abgesehen ist alles gut und auch keine Antivir-Meldungen mehr. :)

Du weißt, was eine Quarantäne ist? Ob da die schädliche Datei drinbleibt oder nicht, das hat keine Auswirkungen. Schädlinge in der Quarantäne können nichts mehr anrichten, sie sind dort isoliert. Du solltest grundsätzlich mit der Quarantäne arbeiten, denn falls der Virenscanner durch einen Fehlalarm was wichtiges löscht, kannst Du notfalls noch über die Quarantäne an die Datei ran.

Okay!

Aber eben gerade kam eine neue Meldung:

In der Datei 'C:\Users\Michelle\AppData\Local\Temp\EAD587B.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.

Ich hab mal auf das Erstellungsdatum eben geachtet, seit Mitte Oktober bis du da jetzt am rumfrickeln. Willst du nicht lieber Daten sichern und alles neu installieren?

Das traue ich mich selbst nicht. Da würde ich dann lieber einen Fachmann drüber gucken lassen, bzw. das erledigen lassen. Aber ja, darüber habe ich letztens auch nachgedacht. Ob das nicht sinnvoller wäre. :/

Deswegen gibt es extra hier eine Anleitung zur Neuinstallation von Windows. Etwas problematisch ist dein Fall auch, weil du dir doch mitunter ein paar Wochen für die nächste Antwort Zeit lässt, in der Zeit kann die Situation dank der aktiven Schädlinge völlig anders aussehen, denn die Teile können unbekannten Code nachladen. Man hat also nur eine gute Chance, wenn zeitnah die Instruktionen umgesetzt werden.

Zwecks Datensicherung folgst du dem zweiten Link in meiner Signatur.

Ich befürchte aber du traust dir das aber alles nicht zu und hast auch wenig Zeit, dann muss man halt eben einen Fachmann bestellen und bezahlen ;)