Trojaner gefunden-wie loswerden?

Hallo,

ich brauche mal wieder eure Hilfe...

Heute morgen habe ich von Avira eine Virusmeldung Crypt.XPACK.gen aus der Quelldatei PE_Rom.dll im C:/Windows-Verzeichnis. Bei einem weitern Scan habe ich bis jetzt schon 4 weitere Funde. Der letzte trägt den Namen Dropper.MSIL.gen8

Nun ist meine Frage, was ich machen soll. Ich habe Windows auf einer eigenen Partition C auf meiner SSD. Die andere Partition ist belegt. Wäre gleich neu formatieren eine Möglichkeit, weil meine WIN-7 Trial ausgelaufen ist und ich eh auf meinen Aktivierungskey warte?
View attachment $Neues Textdokument.txt

Im Anhang habe ich mal ein hijacklogfile; falls das etwas hilfen könnte.

Vielen Dank schonmal.

Liebe Grüße,
Patrick

Edit(s): Textdokument 2 logfile von Avira

 

Hallo pipersupercub

Ich würde zu eine Neuinstallation von Windows 7 raten. Alles andere macht keinen Sinn.

Gruß
Nevok

 

Guten Abend Nevok,

langt es, wenn ich die Windowspartition formatiere?
Auf der anderen Partition befindet sich ein Flugsimulator, an dem ich ungern etwas verändern möchte, geschweige denn neu installieren, da dass bis jetzt ein Zeitaufwand von knapp 40 Stunden war, damit alles so läuft wie es dies jetzt macht...

Außerdem habe ich die betroffenen Dateien alle online bei virscan.org überprüfen lassen- doch da werden alle als sauber angezeigt.
Kann es sich auch um ein false-positiv handeln?

Grüße,
Patrick

 

Den MBR der Fetsplatte kannst du auch noch überschreiben.

 

@ pipersupercub

Es reicht aus, wenn du die Partition formatierst, in der Windows installiert ist und den MBR der Festplatte überschreibst, wie von deoroller vorgeschlagen.

Gruß
Nevok

 

der dürfte nach einer Neuinstallation von Win7 nicht mehr funktionieren, da einerseits die Verlinkung fehlt, andererseits die zugehörigen Daten des Simulators in der neuen Registry nicht mehr vorhanden sind. Auch würde der %AppData%-Ordner neu angelegt.
Lies bitte hierzu mal den Beitrag > http://www.pcwelt.de/forum/showthre...in-Ruhe-gelassen-werden&p=2134092#post2134092

 

Hallo,

so wie ich das jetzt verstanden habe, würde ich die Windowspartition formatieren und das MBR löschen.
Folglich wäre die Simulatorpartition unbrauchbar/ gelöscht etc. Bei meiner anderen Platte genau dasselbe, da diese auch infiziert ist. Es wundert mich nur, da ich diese Datei, aus der der eine von den Trojanerern stammt, schon vor 4 Monaten auf chip.de heruntergeladen habe und seit dem nichts passiert ist.


Ärgerlich wäre es schon, alles komplett neu aufzusetzen, da man ja keine Spieledateien übernehmen sollte und um diese
alle wieder downzuloaden brauche ich bei meiner Bambusleitung und >100GB dateien mindestens 13 Tage; bei einem Verbrauch von schon sehr gutmütigen 100W/h im Idle wären das knapp 7€.
Könnte man unter einem Livesystem ein paar Dateien davon übernehmen? Texturen, sonstwas und dann versuchen über "reparieren" von CD bzw Steam die Spieldateien wieder herzustellen?

Grüße,
Patrick

 

Nein. Der MBR ist im 1.Sektor der HDD verewigt, bestimmt nicht auf der Datenpartition mit deinem Simu. Ein Backup der Daten darauf ist aber dennoch sinnvoll, sofern diese nicht auch kompromiert sind.

Wir könnten sammeln gehen; nenn uns mal deine Bankverbindung.

Grundsätzlich bietet ein Live-OS von Linux oder WinPE diese Möglichkeit.

 

Kann ich das wirklich sicher heraufinden?

Sprich: Einfach nur per Hand die Dateien kopieren, welche nicht ausführbar sind oder gibt es explizit so eine Funktion?

Ein Spendenmarathon wäre mir um einiges lieber.

Grüße,
Patrick

 

Absolut sicher? Nein!

auch "nicht ausführbare" Dateien können verseucht sein. Ich erinnere nur an Bilder, PDFs, versteckte Makros in Officedaten, HTML-Code, usw.