[BadMan]

Hilfe, sch...., es geht schon wieder los.

Gerade meldet mein Antvir:
In der Datei 'C:\System Volume Information\_restore{04C95EB7-D603-4FD6-8484-157B3FE895C2}\RP952\A0068792.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.

HijackThis findet aber nichts Auffälliges.

[duncan.blues]

Hast du schonmal (zusätzlich) Spybot Search & Destroy versucht?

Ansonsten wenn man den Verdacht hat, dass sich möglicherweise was auf der Platte tummelt:

- Antivir von originaler Quelle neu ziehen und neu installieren
- Update fahren
- Rechner neu Booten und im abgesicherten Modus(!) hochfahren
- Komplettscan laufen lassen (ggf. auch den vom Spybot)

So einige Viren benutzen Stealth- und Rootkit-Technologien mit denen sie sich wenn der Rechner erstmal normal hochgefahren ist recht effektiv vor Virenscannern verbergen können.
Im abgesicherten Modus ist das schon etwas schwieriger.

Einer der besten Viren-Killer den ich kenne ist Dr. Web "CureIT". Das Programm ist ein kostenfreier Stand-Alone Virenscanner und -beseitiger. Im Gegensatz zu anderen Programmen bringt es keinen Viren-Echtzeitschutz mit sondern beschränkt sich einzig auf das Entfernen von Viren. Der Vorteil ist, das es nicht installiert werden muss, sondern z.B. direkt von einem USB Stick aus gestartet werden kann. Man sollte dazu natürlich vor dem Einsatz die jeweils aktuellste Version frisch downloaden (von einem sauberen PC aus vorzugsweise).
Auch hier ist für den Einsatz der abgesicherten Modus von Windows keine schlechte Idee.

Absolute Sicherheit bringt eigentlich nur ein externer Scanner der von CD gebootet wird, wie z.B. das sehr gute Knoppicillin.
Damit kommt man eigentlich noch jedem Virus bei.


PS: C:\System Volume Information\_restore ist ein Windows-Systemverzeichnis für die automatische Systemwiederherstellung. Darin speichert Windows regelmäßig und z.B. bei Programminstallationen Kopien der wichtigsten Systemdateien incl Registry und dergleichen ab. Die Meldung vom Antivir besagt eigentlich nix anderes, dass dein Windows von deinem Virus eine Sicherheitskopie angelegt hat. Nett von ihm, oder?
Um das loszuwerden mach einen Rechtsklick auf "Arbeitsplatz" auf dem Desktop und geh auf "Eigenschaften". Dort findest du dann einen Karteireiter "Systemwiederherstellung". Dort machst du einen Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" und klickst OK.
Danach einmal die Kiste neu booten und Antivir Komplettscan laufen lassen. Danach sollte die Kopie weg sein. Hinterher die Systemwiederherstellung wieder anmachen!
Achtung: Dadurch gehen alle alten Systemwiederherstellungspunkte flöten. Wenn die Kiste ansonsten klaglos tut, dann ist das aber eigentlich nicht weiter tragisch. Die Wiederherstellungspunkte sind dazu da, die Kiste wieder flottzumachen wenn nach irgend einer Config-Veränderung plötzlich nix mehr geht. Dann stellt man einen alten Zustand wieder her und die Kiste sollte wieder laufen.
Wenn du das jetzt machen würdest, dann hättest du den Virus aus der Sicherung wieder drin im System, deswegen weg mit dem Backup.

[BadMan]

Zitat:

Zitat von duncan.blues

Hast du schonmal (zusätzlich) Spybot Search & Destroy versucht?

Hatte ich vergessen zu erwähnen, der findet auch nichts.

Zitat:

Zitat von duncan.blues

- Antivir von originaler Quelle neu ziehen und neu installieren
- Update fahren

Antivir habe ich neu in der Premiumversion und wurde gerade erst upgedatet.

Zitat:

Zitat von duncan.blues

- Komplettscan laufen lassen (ggf. auch den vom Spybot)

läuft gerade

Ich denke, mit deinen restlichen Tipps werde ich mich dann morgen mal befassen. Hört sich jedenfalls sehr hilfreich an.
Auf der Arbeit habe ich auch einen sauberen PC (denke ich wenigstens).

[alberich]

Mal ein paar Dateien mit denen dieses eklige vieh verknüpft sein kann, resp. die es erzeugt.

Quelle: research.sunbelt-software.com

%SYSTEM%\ ybitcfej.exe
_photo2.com
~.exe
~ninstall.exe
02.exe
0x57.exe
1[1].exe
1[5].exe
1028d.exe
109ee4ehpee4ea.exe
10cfaa4hpfaa4d.exe
1188981.exe
17114.exe
1aa2032hp2032d.exe
2.exe
201[1].exe
2505.exe
25058.exe
29656.exe
3.exe
3076z.dll
34_0.exe
4nickse9.exe
76029_5831470_MediaTubeCodec.exe
76033_6888456_dvdcodec.exe
76035_5725553_dvdcodec.exe
76035_5985112_dvdcodec.exe
76046_8293518_1.exe
96492ww.exe
9ts7kf.exe
9txll3.exe
aaaamonb.exe
accwizk.dll
admparseh.dll
adsntp.dll
adsnww.dll
ajgnwzor.exe
alg2k.exe
algc.exe
AlrtDrv.dll
ap4kg.exe
b.exe
bootsrv.dll
braviax.exe
braviax1.exe
Buffoon.exe
c:\ documents and settings\ all users\ application data\ whiforwv\ avsbmvkj.exe
ca5kg.exe
CbEvtSvc.exe
cdnprh.dll
cert[1].exe
codec.exe
cripqdgd.exe
csiq.exe
csmss.exe
dnsclient.dll
dvdcodec.exe
dyvwfmxi.exe
ebqluxyl.dll
eesp.exe
erqlytej.exe
exgxsdwd.exe
f.exe
fasddf.exe
febsxmdw.exe
file[1].exe
file152.exe
file290.exe
file585.exe
fmnihevs.exe
gtyfh.exe
guczxovm.exe
hidqxivw.exe
hkrohwts.exe
hlyknf.exe
hufu.exe
ic.exe
ICQ_7.exe
idwfevir.exe
iexpiore.exe
iexplorer.exe
iidgpgmj.exe
image__.exe
install.exe
ivqb.exe
jnspuhuk.exe
judalcju.dll
kdkcz.exe
KernelComponent.dll
kjczglcl.exe
ktknmjgz.exe
last.exe
last2.exe
ldr1_274.exe
ldrss2[1].exe
load[1].exe
lutkfwlk.exe
lwzkduzi.exe
m.exe
m00.exe
mhzuhlib.exe
mian1.exe
msd.exe
ntndis.exe
ntos.exe
obuvcnav.exe
od3mdi.dll
ojde.exe
opps.exe
pdoh.exe
pnxh.exe
qfmscpvr.exe
rkwqlbmz.exe
services.exe
servp10.exe
servp2.exe
servp3.exe
servp4.exe
servp6.exe
servp7.exe
servp8.exe
servp9.exe
sjgnmvwl.exe
spearsbritney.com
svchost.exe
svcos[1].exe
sysbqzr.exe
syseuqo.exe
syshpmz.exe
sysntoi.exe
sysrtlr.exe
tavo.exe
tmp.exe
tspous.exe
ttaa.exe
twkt.exe
virusmsn.com
vpmbfktp.exe
vzqj.exe
winlogon.exe
wtes.exe
wzababiz.exe
xbahei.exe
xdtfiqgr.exe
xep_bot.exe
xojqhqjk.exe
xpre.exe
XQcoP2rR2W.exe
xrun.exe
yt.exe
yzzosbeu.exe
zip.dll
zojipsfi.exe
zvla.exe

[BadMan]

Habe jetzt erst Deinen Nachtrag gelesen.

Systemwiederherstellung kenne ich und habe die auch schon gelegentlich benutzt.
Da mein System ansonsten anstandslos läuft, werde ich also das backup killen.

[duncan.blues]

Zitat:

Zitat von BadMan

Ich denke, mit deinen restlichen Tipps werde ich mich dann morgen mal befassen. Hört sich jedenfalls sehr hilfreich an.
Auf der Arbeit habe ich auch einen sauberen PC (denke ich wenigstens).

Bitte Nachtrag zur Systemwiederherstellung beachten, habe ich erst später nachgeschoben.

Was den PC auf der Arbeit angeht... "Vertrauen ist gut..."

Ansonsten: Kopf hoch, mit den richtigen Werkzeugen kriegt man eigentlich fast jeden Bösewicht weg. Ich hatte vor etlichen Monaten auf meinem damaligen Windows 2000 System einen richtig fiesen Virus (einen echten Virus, das meiste heutzutage sind ja Würmer oder Trojaner), der sich direkt in etliche legitime .EXE Files eingenistet hat. Darunter auch so 'unbedeutende' Sachen wie explorer.exe
Die befallenen .EXE Files zu löschen hätte das System endgültig zerstört. Gerettet hat mich damals "CureIT", was zu dem Zeitpunkt als einziges in der Lage war, den Virus zu entfernen und die befallenen Dateien in ihren Ursprungszustand zurückzuversetzen.
Die selbe Windows Installation hat danach noch zig Monate fehlerfrei und absolut absturzfrei ihren Dienst verrichtet bis ich sie aus Kompatibilitätsgründen durch XP ersetzen musste. Du siehst: Es besteht Hoffnung.

[BadMan]

Zitat:

Zitat von alberich

Mal ein paar Dateien mit denen dieses eklige vieh verknüpft sein kann, resp. die es erzeugt.

Ich sehe da in Deiner Liste auch den ntos.exe. Den hatte ich ja und dachte, ihn los zu sein.
Da ist dann wohl möglicherweise doch etwas übriggeblieben und ich habe jetzt auch eine Vermutung, wieso.
Irgendwo hatte ich den Tipp gelesen, den ntos.exe durch eine Systemwiederherstellung auf einen sauberen Zeitpunkt loszuwerden. Dann liefen aber andere Programme nicht mehr und meine Freeware-Antivir-Version, die ich zu dem Zeitpunkt noch hatte, ließ sich nicht deinstallieren, was aber nötig war, um auf die Premiumversion upzudaten. Also hatte ich die Systemwiederherstellung rückgängig gemacht und dann eine andere Methode gefunden, um den Virus zu entfernen.

[BadMan]

Zitat:

Zitat von duncan.blues

"Systemwiederherstellung auf allen Laufwerken deaktivieren"
Danach einmal die Kiste neu booten und Antivir Komplettscan laufen lassen.

Habe nun im abgesicherten Modus mit Antivir, Hijackthis und Spybot gescannt und es wurde nichts gefunden.
Vielleicht ist ja jetzt wieder für 2 Tage Ruhe.

Dann wollte ich mir noch Dr.Web CureIt! besorgen aber ich komme nicht auf die ftp-Seite.
Und sehe ich das richtig, dass ich für Knoppicillin auf die nächste c't warten muss?

[duncan.blues]

Zitat:

Zitat von BadMan

Und sehe ich das richtig, dass ich für Knoppicillin auf die nächste c't warten muss?

Leider ja bzw die letzte mit Knoppicillin-CD, sofern noch lieferbar, nachbestellen.
Der Heise Verlag darf das leider nicht zum Download anbieten wegen der lizenzbehafteten Antivir-Programme die in Knoppicillin verwendet werden.

[modena]

Wenn deine Scanner auf dem PC nichts mehr finden, würd ich evtl. noch 1-2 Onlinescanner einsetzen.
Panda und Kaspersky sei da empfohlen.

Weiterhin ist es nicht notwendig sich einen Virenschutz zu kaufen.
Ein sehr guter Virenschutz, welcher Echtzeitschutz und Mailscan bietet ist der Österreichische Avast. Ausserdem hat man da auch keine nervige Werbung wie beim Antivir.
Bei der Gratisversion ist allerdings eine Registration Pflicht.

LG