Problem mit TR/Crypt.XPACK.Gen3

Hi,

ein Freund von mir hat heute seinen PC angemacht und bekommt ständig Avira Antivir Meldungen wg. eines "TR/Crypt.XPACK.Gen3" backdoor/trojan.

Eine dll (Google findet dazu nichts) ist infiziert

Egal ob auf Zugriff verweigern, löschen oder in Quarantäne verschieben geklickt wird, es kommt immer wieder.

Gibt es eine andere Möglichkeit außer HiJackThis und Malwarebytes drüberlaufen zu lassen?

Ich habe versucht mit Teamviewer remotezugriff zu erhalten, da er sich nicht so gut mit PCs auskennt, aber egal ob ich das Programm bei ihm installiere (kann seinen Bildschirm per skype sehen) oder ob er es direkt ausführt, es wird nicht ausgeführt (keine Fehlermeldung oder ähnliches).

Da wird evtl. ein Programm laufen, das ständig versucht, auf die Datei zuzugreifen. Wenns keine Windows-Systemdatei ist, dann würde ich einfach mal versuchen, im abgesicherten Modus zu starten und die Datei manuell zu löschen. Eine Liste der laufenden Prozesse wäre sicher auch von Vorteil, um das Programm zu finden, das die DLL benutzen will.

alexx schrieb:

Gibt es eine andere Möglichkeit außer HiJackThis und Malwarebytes drüberlaufen zu lassen?

Zum Vergrößern anklicken....

Nein. Ich würde im abgesicherten Modus hochfahren, mit Hijackthis alle verdächtigen Starteinträge (HKLM\...\Run, HKCU\...\Run und Windows-Startup) löschen. Meist ist es eine EXE, die überwacht, dass ein oder zwei DLLs gestartet werden. Im Anschluss würde ich die EXE und die DLLs löschen, mit ClearProg (www.clearprog.de) auch alle temporären-Verzeichnisse (User-Temp, Windows-Temp, IE-Temporary-Internet-Files und den Mozilla-Cache) löschen. Als letztes dann mit Avira die lokalen Laufwerke überprüfen und gefundene Dateien nicht in die Quarantäne verschieben, sondern löschen.
Dann dürfte Ruhe sein. Hatte das bei zwei Bekannten auch erst letzte Woche. Ich nehme an, Firefox oder der IE hatte noch eine Lücke auf den Systemen. Also auch Windows-Update und Firefox-Update nicht vergessen.