Avira Virusmeldung - nur ein Fehlalarm? Oder tatsächlich ein Trojaner?
 

Avira AntiVir hat bei meinem letzten Vollscan etwas gefunden. Hier das Logfile:
Ist das nur ein Fehlalarm oder ist das wirklich etwas Gefährliches. Habe nämlich im Internet auch schon gelesen, dass es ein Fehlalarm sein kann bei diesem TR/Crypt.XPACK.Gen! Bitte helft mir...! Ich möchte am liebsten einer Neuaufsetzung des Systems aus dem Weg gehen!!!

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Sorry dass es so lange gedauert hat. Habe nun die Logfiles von mbam und OTL (Beide)! Malwarebytes hat nichts gefunden. (Das zweite OTL Logfile ist im nächsten Beitrag...)

hier das zweite...

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Dort befindet sich nur ein weiteres, das aber nur von einem einzelnen scan (d.h. nur eine datei wurde untersucht (2sekunden) ist). ich denke, dass dieses nicht nötig ist, oder?

Wer hat dich aufgefordert, combofix auszuführen??
Wo ist das Log dazu?

Hatte bereits mal ein Problem und habe mir hir auf trojaner-board.de Hilfe geholt. Doch leider wusste ich dazu mein Passwort nicht mehr und musste nun ein neues Konto anlegen! Ist der combofix ordner der, der Qoobox heißt??? Wenn es dieser ist, siehe unten. Sorry, hatte ganz vergessen, dies vorhin zu erwähnen :headbang: Weiß nicht genau, ob das das gesuchte ist.!

Am 2. Januar?? Wie heißt dein Nick von damals?
Außerdem gibt es eine Passwort vergessen Funktion!!

gidius, das hast damals auch du bearbeitet!!!
Ja, aber dafür benötige ich meine E-Mail-Adresse, die ich mittlerweile nicht mehr habe (war nur eine vorübergehende; somit habe ich auch keinen Zugang mehr zu dieser E-Mail-Adresse und auch keinen um das PW zu ändern)

Ok, hier der Link zu PW-vergessen-Funktion :pfeiff: => http://www.trojaner-board.de/login.php?do=lostpw

habs im anderen beitrag gerade hinzugefügt: e-mail-adresse existiert nicht mehr, da ich nicht damit gerechnet habe, so schnell wieder hier Hilfe suchen zu müssen!

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

So habe nun das mit OTL gefixed. Im Anhang das Logfile:

Dann bitte jetzt CF ausführen (cofi neu runterladen!)

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ComboFix war leider nicht so wie erhofft. Als ich beim ersten Mal cofi.exe gestartet habe (neu heruntergeladen), kam direkt ein Bluescreen (näheres gleich). Beim zweiten Mal ging die Suche nach infizierten Dateien bis Stufe_50, dann wiederum Bluescreen:
"Es wurde ein Problem festgestellt. Windows wurde beendet, damit der Computer nicht beschädigt wird

BAD_POOL_HEADER

...

Speicherabbild des physischen SPeichers wurde erstellt"

Wo ich das finde, weiß ich nicht?
1. Was war hier das Problem?
2. Könntest du mir mal kurz schildern, wie die Recovery Console funktioniert und was man damit machen kann (z.B. wenn der PC nicht mehr bootet)
3. hat zwar nichts mit diesem Forum zu tun aber: Mein GraKa-Treiber ist ständig wieder weg (d.h. alle ca. 5 Tage), dann ist die Auflösung extrem schlecht und ich habe alles riesig groß auf dem Desktop! Die Meldung, dass mein Treiber für eine ältere Version von Windows ist, kommt; jedoch habe ich extra einen heruntergeladen, der für XP (32 Bit) ist und der hat auch 4 Tage immer funktioniert! Ich habe glaubich mittels eines Tools herausgefunden welcher Treiber benötigt wird: ATI Radeon X800 Series. Gibt es da eine andere Möglichkeit?
4. Ich habe gerade die Drivers & Utilities CD eingelegt (von meinem PC). Als ich auf der CD den Ordner Service öffnete kam von Avira die Meldung, dass die Datei diagnose.exe das Trojanische Pferd TR/PSW.Hangame.CO.3! Das ist doch nur ein Fehlalarm, oder??

Hoffe, ich habe dich nicht mit diesen Fragen überrumpelt. Wäre aber dennoch nett, wenn du sie mir beantworten könntest.

Zum Problem: Wie soll ich jetzt weiter vorgehen bzgl. ComboFix??

So viele Sachen aufeinmal zu klären bringt nichts, da verzettelt man sich nur. Man muss Stück für Stück eine Sache klären, ich bin auch kein hellseher und weiß nicht glaich auf Anhieb die Ursache eines jeden Problems!

Lad cofi.exe neu runter, die alte vorher löschen, starte Windows neu und probier es nochmal.

Okay,
aber heute komme ich nicht mehr dazu!
Werde es dann morgen Mittag oder Nachmittag durchführen und mich anschließend wieder melden.
Bis dann,
gidius

Leider war auch ein erneuter Versuch (mit neuem Herunterladen und einem vorherigen Neustart) nicht erfolgreich. Während des Startens der Durchsuchung kommen Warnungen, dass bestimmte Dienste (einer war mit g...) unerwartet beendet wurden. Dann wird im ComboFix Fenster eingeblendet:

"Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird."

Erst dann startet die Durchführung und irgendwann kommt der Bluescreen!

Kann man diesen Vorgang (also den mit ComboFix) auch überspringen???

Probier es mit einer neuen cofi.exe bitte mal im abgesicherten Modus von Windows.

Habe mir die cofi.exe erneut heruntergeladen. Den PC dann im abgesicherten Modus gestartet.

Wenn ich auf Avira gehe, wird mir angezeigt, dass der Guard nicht gestartet ist!

Wenn ich dann cofi.exe starten will, kommt zunächst die "normale" Meldung, die ich mit OK bestätige (wie in der Anleitung)! Dann folgt die Meldung dass der realtime-Scanner: avira antivir noch aktiv ist und ich nicht fortfahren sollte! Doch diesen "realtime-scanner" kann ich nicht beenden, da Avira Dienste bereits inaktiv sind!

Hast du evtl. noch eine Möglichkeit cofi.exe auszuführen oder geht es auch ohne? Auf jeden Fall musste ich jetzt Avira neu herunterladen, da er auch im abgesicherten Modus nicht mehr zu starten war! Auch nach erneutem Neustart. Jedenfalls läuft Avira jetzt wieder!!

Das ist ein Bug. Im abgesicherten Modus ist AntiVir logischerweise nicht aktiv. Du kannst cofi einfach fortführen.

So, nun hab ich es geschafft... :applaus:

Im Anhang das Logfile von ComboFix!

Kann ich cofi.exe wieder löschen?

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

GMER hat nicht funktioniert.
Bei OSAM meldet mir der McAfee Site Advertisor, dass der Download Viren oder Malware enthält. Und hat dringend empfohlen ihn zu blockieren!
Du meintest, dass ich bei der osam.exe die Meldungen ignorieren kann, ist dies auch in diesem Fall (beim Herunterladen) so?
Ich will nur 100%ig sicher sein!

quimen

Dasist ein Fehlalarm! Diesen McAfee-Murks kannst du eh deinstallieren!

So, habe nun OSAM ausgeführt!

Nun soll ich ja MBRCheck machen, muss ich dabei OSAM (das Programm) geöffnet lassen oder nicht???

OSAM Logfile:
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru[/QUOTE]

OSAM kannst du beenden.

Habe MBRCheck ausgeführt. Jedoch gab es wieder dasselbe Problem, das wir auch schon damals hatten (unter "gidius"). Am Ende ist es nicht unvollständig, da der Scan abgebrochen hat und der PC heruntergefahren wurde (Blue Screen). Ich habe es auch nochmal im abgesicherten Modus probiert aber auch nicht anders. Daher 2 MBRCheck Logfiles (beide unvollständig)!

Hoffe, dass du damit dennoch etwas anfangen kannst.
PS: Das frühere ist das im normalen Modus

Hattest du schonmal den TDSS-Killer von Kaspersky ausgeführt? Wenn nicht mach das mal => http://www.trojaner-board.de/82358-t...entfernen.html

(Anleitung ist etwas älter, muss mal überarbeitet werden weil Kaspersky dem Programm eine GUI verpasst hat)

habe ich zuvor noch nie ausgeführt. habe es gemacht -> Ergebnis: Kein Fund.

Die .exe Datei vom TDSSKIller kann ich damit auch wieder löschen, oder?
Kann ich auch die cofi.exe + osam.exe wieder löschen?

Hm, hatten wir denn damals deinen MBR neu geschrieben mit dem fixmbr Befehl?

Soweit ich weiß schon. wir hatten irgendetwas mit fixmbr gemacht...
Was ist denn MBR überhaupt??
Habe gerade nach dem Beitrag gesucht und nachgesehen! Wir haben es gemacht, jedoch kam beim anschließenden MBR Check auch nichts neues Heraus! Du meintest dann dass diese auch ok sei!

Master Boot Record ? Wikipedia

Deiner scheint ok zu sein. TDSS-Killer meldet auch nichts aufälliges.

Okay, wie geht es dann weiter?
Außerdem wollte ich noch wissen ob ich die cofi.exe, osam.exe und mbrcheck.exe löschen kann?

Wir müssten fast durch sein. OSAM und den anderen Kram kannst du löschen.

Mach danach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Malwarebytes hab ich jetzt gemacht.

SUPERAntiSpyware läuft gerade. Sieht aber bislang auch ganz gut aus. Wenns bald fertig ist, werde ich es noch hochladen, wenn nicht, dann mache ich das morgen Nachmittag.

quimen

So,

nun ist auch SuperAntiSpyware durchgelaufen. Auch hier wurde nichts gefunden:

Keine Funde.
Rechner wieder ok?

Als ich den PC nun gestartet habe, kam eine Meldung von Avira (siehe Anhang)! Was ist das? Wie kann ich das beheben?

Programmabsturz. Ursache kann alles mögliche sein. Ist das nur einmal passiert oder kommt das öfter vor?

Also das war das erste Mal, jetzt als ich den PC wieder hochgefahren habe, war das nicht so. Dann war es wohl wirklich nur eine einmalige Meldung.

Ansonsten ist soweit alles okay.

:dankeschoen: für deine Hilfe

Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Das habe ich eh automatisch und da schaue ich auch so öfter mal vorbei...

Habe mir bereits den Sumatra PDF Reader heruntergeladen und bin damit sehr zufrieden.

Gerade lade ich die neueste Version (von der Website, die du nanntest) herunter. Somit ist das dann auch auf dem aktuellen Stand.

Ich habe noch eine andere Frage:
Was sollte eigentlich alles im "Systemstart" sein (also da bei msconfig unter Systemstart). Bei mir ist das folgendes:

• NETGEAR (wg. W-LAN)
  Grafikkartentreiber (ATI)
  Avira AntiVir
  ctfmon
  Logitech SetPoint (wg. Tastatur)

Nur damit ich weiß, ob die alle nötig sind!

:abklatsch: Vielen Dank für deine Hilfe.

Wenn ich wieder mal :confused: bin wg. Viren & Co. werde ich mich wieder melden. Aber ich hoffe mal, dass das nicht wieder sein wird.

Jetzt kann ich ja wieder weitestgehend beruhigt sein...
:kaffee:

Liebe Grüße,
quimen

Kannst du so lassen...

Hallo Arne,

eben als ich den PC hochgefahren habe, kam folgende Meldung:

Eine der Dateien mit der Registrierung des Systems musste mit einem Befehl oder einer Sicherungskopie wiederhergestellt werden. Die Wiederherstellung war erfolgreich.

Was ist das? Wie kann ich das wieder "wegbekommen"?

Hallo,

ich habe auch schon gegooglet. Aber ich weiß nicht genau was ich da machen kann. :confused:

Als ich den PC nun neu gestartet habe, um zu testen ob diese Meldung immer kommt, kam ein Bluescreen, (schwerer Systemfehler) mit der Meldung dass der SESSION MANAGER INITIALIZATION unerwartet beendet wurde. Erst beim erneuten Starten ging es wieder.

Immer wenn ich den PC starte kommt dies. Wenn ich dann erneut Starte dann nicht mehr...

Hast du hierfür vllt. eine Idee, außer lmgtfy?

Poste mal frische OTL-Logs vllt sieht man was im Ereignisprotokoll.

So, habe nun die OTL Logs erneut erstellen lassen.

Übrigens: Als ich jetzt hochgefahren habe kam kein Bluescreen!

Hm...Fehler bei verschiedenen Anwendungen. Kenn ich besonders dann wenn der Arbeitsspeicher nicht mehr ganu i.O. ist...

Mach mal ein Speichertest mit Memtest86+ => [Guide] Anleitung: Wie testet man RAM-Riegel mit Memtest86+ V2.01/V4.00? - Forum de Luxx

Hallo Arne,

Danke dass du mir auch hierbei helfen kannst :daumenhoc

Wie ich auf dieser Seite gelesen habe, kann das ja etwas dauern, bis man ein aussagekräftiges Ergebnis hat!

Hierzu werde ich voraussichtlich erst im Laufe der nächsten Woche kommen, da mir jetzt (am Wochenende) die Zeit dazu fehlt. Von daher kann es gut sein, dass das Ergebnis erst am Mittwoch oder Donnerstag feststeht!

Gäbe es auch noch eine Möglichkeit, ohne von einem Datenträger booten zu müssen (die evtl. auch schneller geht)?

Wie schlimm ist das mit dem Arbeitsspeicher? Wenn es der Arbeitsspeicher ist, kann ich dann weiterhin so arbeiten oder kann sich das noch verschlimmern?

Ich hoffe das du mir auch aus diesem "Problem" helfen kannst. Aber wie gesagt, erst in ein paar Tagen!

quimen

Wüsste ich nicht. Nimm Memtest86

Könntest du mir diese Fragen vllt. noch beantworten, da ich ja erst in einigen Tagen dazu kommen werde. Nur damit ich weiß, was da überhaupt passieren kann...!

Wenn es der Speicher ist, kannst du diesen nur ersetzen. Speuchermodule kosten heute aber nicht mehr viel.

Ich habe damit aber gemeint, ob das vorübergehend so passt (bis ich dazu komme) oder ob da sofort etwas getan werden muss?!

Naja wenn du mit diesen Aussetzern leben kannst und willst :confused:
Aber wir wissen ja noch nichtmal ob es der Speicher überhaupt ist! Deswegen schnell testen mit Memtest, 1-2h wirst du dafür ja wohl Zeit haben!

Guten Morgen Arne,

ich schau mal dass ich es möglichst schnell hinbekomme, den Memtest durchzuführen! Frühestens jedoch heute abend.

Ich habe noch eine Frage: Ich habe mit dem CCleaner mal bei Registry geschaut, was der da als Fehler findet (habe nichts gelöscht). Er findet jedoch ca. 30 - 40 Uninstaller-Verweis-Fehler von irgendwelchen KB... Dateien (das sind doch eigentlich die Updates, oder?) Ich habe nämlich gelesen, dass solche Bootfehler auch durch fehlerhafte Updates entstehen können!
a) kann das stimmen?
b) kann ich diese Uninstaller-Verweis-Fehler mal löschen?

eigentlich nicht. denn heute beim Systemstart kam natürlich wieder BlueScreen und erst im vierten (!) Versuch hat der Start geklappt! Und immer der Bluescreen mit der Meldung, dass der Session Initialization Manager beendet wurde. :confused:
Ich hoffe dass wir auch das noch hinbekommen. Mal sehen, was der Memtest heute abend oder morgen sagt.

Was willst du dann vom Memtest eigentlich als Ergebnis? Anzahl Fehler??? Weil die anderen Ergebnisse kann ich dir ja schlecht sagen, oder?!

Schöne Grüße
quimen

Lies mal die Anleitung zum CCleaner zu Ende:

Schau erstmal nach ob da überhaupt Fehler auftreten. Wenn ja kannst du ja einen Screenshot machen oder die Ergebnisse einfach notieren und hier posten.