| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojanische Pferd TR/Crypt.XPACK.GenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
09.12.2008, 11:08
| #1 |
 |  Trojanische Pferd TR/Crypt.XPACK.Gen Hallo ihr alle, so jetzt hab ich mein Log angepasst - war wohl doch bissl zu spät in der Nacht - daher SORRY... also nochmal mein Problem: mein AVIRA hat bei einer Systemüberprüfung an einer Datei rumgemeckert (bzw. ein ZIP-File gemeldet). Jetzt bin ich total beunruhigt weil ich nicht weiß ob ich den ZIP-Ordner geöffnet habe oder ob ich ihn "nur" empfangen habe... - Leider weiß ich auch nicht von wem ich dieses Teil bekommen hab! Kann ich irgendwie feststellen ob die Datei ausgeführt wurde oder ob ich sie "nur" empfangen habe - bzw führt sie sich sogar von allein aus? Im Anhang habe ich euch mal das Log von AVIRA und von HijackThis. Avira AntiVir Personal Erstellungsdatum der Reportdatei: Montag, 8. Dezember 2008 23:37 Es wird nach 1077146 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows Vista Windowsversion: (plain) [6.0.6000] Boot Modus: Normal gebootet Benutzername: SYSTEM Computername: **** Versionsinformationen: BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 27.11.2008 00:36:53 AVSCAN.DLL : 8.1.4.0 48897 Bytes 18.07.2008 08:23:18 LUKE.DLL : 8.1.4.5 164097 Bytes 18.07.2008 08:23:20 LUKERES.DLL : 8.1.4.0 12545 Bytes 18.07.2008 08:23:20 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 17:37:21 ANTIVIR1.VDF : 7.1.0.197 1170432 Bytes 07.12.2008 12:12:08 ANTIVIR2.VDF : 7.1.0.198 2048 Bytes 07.12.2008 12:12:09 ANTIVIR3.VDF : 7.1.0.202 10240 Bytes 08.12.2008 12:12:09 Engineversion : 8.2.0.43 AEVDF.DLL : 8.1.0.6 102772 Bytes 15.10.2008 15:06:27 AESCRIPT.DLL : 8.1.1.18 336251 Bytes 08.12.2008 12:12:21 AESCN.DLL : 8.1.1.5 123251 Bytes 09.11.2008 15:03:25 AERDL.DLL : 8.1.1.3 438645 Bytes 09.11.2008 15:03:24 AEPACK.DLL : 8.1.3.4 393591 Bytes 12.11.2008 15:18:26 AEOFFICE.DLL : 8.1.0.32 196987 Bytes 08.12.2008 12:12:18 AEHEUR.DLL : 8.1.0.74 1519990 Bytes 08.12.2008 12:12:17 AEHELP.DLL : 8.1.2.0 119159 Bytes 20.11.2008 02:00:57 AEGEN.DLL : 8.1.1.6 323955 Bytes 28.11.2008 18:48:24 AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 15:06:14 AECORE.DLL : 8.1.5.2 172405 Bytes 28.11.2008 18:48:22 AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 15:06:10 AVWINLL.DLL : 1.0.0.12 15105 Bytes 18.07.2008 08:23:18 AVPREF.DLL : 8.0.2.0 38657 Bytes 18.07.2008 08:23:18 AVREP.DLL : 8.0.0.2 98344 Bytes 03.08.2008 11:39:15 AVREG.DLL : 8.0.0.1 33537 Bytes 18.07.2008 08:23:18 AVARKT.DLL : 1.0.0.23 307457 Bytes 19.04.2008 03:21:22 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18.07.2008 08:23:18 SQLITE3.DLL : 3.3.17.1 339968 Bytes 19.04.2008 03:21:24 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18.07.2008 08:23:20 NETNT.DLL : 8.0.0.1 7937 Bytes 19.04.2008 03:21:23 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 18.07.2008 08:22:47 RCTEXT.DLL : 8.0.52.0 86273 Bytes 18.07.2008 08:22:47 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\program files\avira\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, D:, E:, F:, G:, I:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Montag, 8. Dezember 2008 23:37 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchFilterHost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchProtocolHost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TrustedInstaller.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ApntEx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hidfind.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ApMsgFwd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WmiPrvSE.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'psqltray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'daemon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SEPCSuite.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sttray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Apoint.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'OEM02Mon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PCMService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'DellWMgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'stacsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NMSAccessU.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EvtEng.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AEstSrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wlanext.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'upeksvr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '75' Prozesse mit '75' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'F:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'G:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'I:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '38' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <System> C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\*****\AppData\Local\Temp\0uqtcwcy.exe [0] Archivtyp: CAB SFX (self extracting) --> \data1.hdr [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\*****\Meine empfangenen Dateien\n45101.zip [0] Archivtyp: ZIP --> '***_632.***_*****@live.de.com [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde gelöscht. C:\**********\Downloads\****.exe [0] Archivtyp: NSIS --> ProgramFilesDir/el-vis - soundscape III (skupers remix).avs [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\Windows\System32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'D:\' <****> Beginne mit der Suche in 'E:\' <****> Beginne mit der Suche in 'F:\' <****> Beginne mit der Suche in 'G:\' <****> G:\******\save\Meine empfangenen Dateien\n45101.zip [0] Archivtyp: ZIP --> ****_632.***_****@live.de.com [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde gelöscht. Beginne mit der Suche in 'I:\' <TREKSTOR> I:\\********.rar [0] Archivtyp: RAR --> *****.exe [FUND] Ist das Trojanische Pferd TR/Gendal.14497 [HINWEIS] Die Datei wurde gelöscht. Ende des Suchlaufs: Dienstag, 9. Dezember 2008 00:26 Benötigte Zeit: 49:04 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 19005 Verzeichnisse wurden überprüft 439282 Dateien wurden geprüft 3 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 3 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 3 Dateien konnten nicht durchsucht werden 439276 Dateien ohne Befall 2963 Archive wurden durchsucht 5 Warnungen 3 Hinweise Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 01:09:06, on 09.12.2008 Platform: Windows Vista (WinNT 6.00.1904) MSIE: Internet Explorer v7.00 (7.00.6000.16681) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\system32\taskeng.exe C:\Windows\Explorer.EXE C:\Program Files\Windows Defender\MSASCui.exe C:\Program Files\Dell\Dell Webcam Manager\DellWMgr.exe C:\Program Files\Dell\MediaDirect\PCMService.exe C:\Windows\OEM02Mon.exe C:\Program Files\DellTPad\Apoint.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe D:\HP\HP Software Update\hpwuSchd2.exe C:\Windows\System32\rundll32.exe C:\Windows\System32\rundll32.exe C:\Windows\System32\rundll32.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZoneAlarm\ZoneAlarm\zlclient.exe C:\Program Files\FreePDF_XP\fpassist.exe C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe C:\Program Files\SigmaTel\C-Major Audio\WDM\sttray.exe C:\Program Files\Windows Sidebar\sidebar.exe E:\DaemonTools\daemon.exe C:\Windows\ehome\ehtray.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Program Files\Fingerprint Reader Suite\psqltray.exe E:\OpenOffice\program\soffice.exe C:\Windows\ehome\ehmsas.exe E:\OpenOffice\program\soffice.BIN C:\Program Files\DellTPad\ApMsgFwd.exe C:\Program Files\DellTPad\HidFind.exe C:\Program Files\DellTPad\Apntex.exe C:\program files\avira\antivir personaledition classic\avcenter.exe E:\Mozilla Firefox\firefox.exe C:\Windows\system32\conime.exe C:\Windows\system32\SearchFilterHost.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://***/fwlink/?LinkId=*** R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://***/fwlink/?LinkId=*** R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://***/fwlink/?LinkId=*** R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://***/fwlink/?LinkId=*** R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://***/fwlink/?LinkId=*** R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://***/fwlink/?LinkId=*** R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.509.6972\sw g.dll O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [DELL Webcam Manager] "C:\Program Files\Dell\Dell Webcam Manager\DellWMgr.exe" /s O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\MediaDirect\PCMService.exe" O4 - HKLM\..\Run: [OEM02Mon.exe] C:\Windows\OEM02Mon.exe O4 - HKLM\..\Run: [Apoint] C:\Program Files\DellTPad\Apoint.exe O4 - HKLM\..\Run: [PSQLLauncher] "C:\Program Files\Fingerprint Reader Suite\launcher.exe" /startup O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [HP Software Update] D:\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\AdobeReader 8.1.2\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NVHotkey] rundll32.exe C:\Windows\system32\nvHotkey.dll,Start O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZoneAlarm\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [FreePDF Assistant] C:\Program Files\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe" O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\sttray.exe O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "E:\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon O4 - HKCU\..\Run: [DAEMON Tools Lite] "E:\DaemonTools\daemon.exe" -autorun O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - Startup: OpenOffice.org 2.4.lnk = E:\OpenOffice\program\quickstart.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: &Winamp Search - C:\ProgramData\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html O8 - Extra context menu item: Nach ******** - res://E:\********.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\**********.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\ICQ6\ICQ.exe O13 - Gopher Prefix: O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://** O17 - HKLM\System\CCS\Services\Tcpip\..\{482D3C5A-DF3D-4B7E-B893-6B39AE64A297}: NameServer = 192.168.2.1 O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\system32\aestsrv.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: LckFldService - Unknown owner - C:\Windows\system32\LckFldService.exe (file missing) O23 - Service: NMSAccessU - Unknown owner - E:\CDBurnerXP\NMSAccessU.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: SigmaTel Audio Service (STacSV) - IDT, Inc. - C:\Windows\system32\STacSV.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe -- End of file - 8328 bytes Besten Dank schonmal für Eure Antworten - und nochmal Sorry!!! Grüße |
|
09.12.2008, 11:28
| #2 |
| | Trojanische Pferd TR/Crypt.XPACK.Gen Hi,
__________________wie ich sehe steht im Log du hast die 3 gefundenen Datein gelöscht?!  An deinem Log kann ich jetzt auf die schnelle nichts genaues erkennen. Aber da du die Datein gelöscht hast, ist eine richtige Analyse meiner Meinung nach auch nicht mehr richtig möglich. Falls ich mich irre bitte ich um Berichtigung! Guck mal bei der .Zip Datei ob du die bei Virustotal.com hochladen kannst und lass die mal druchsuchen! Dann guck mal die Eigenschaften der Datei durch und guck dir die Daten an wann darauf zugegriffen wurde usw und poste das mal hier! |
|
10.12.2008, 08:55
| #3 |
| | Trojanische Pferd TR/Crypt.XPACK.Gen Hi,
__________________naja habe mir die Datei von AVIRA löschen lassen. so ein Jammer das ist jetzt echt leicht sch...!  Kann ich nicht irgendwo erkennen ob ich mich mit den Crypr.XPACK.Gen infiziert habe? Macht er nicht was bestimmtes das ich checken könnte (wie z.B. einen Prozess aufrufen,...)? Grüße |
|
10.12.2008, 15:43
| #4 |
| | Trojanische Pferd TR/Crypt.XPACK.Gen Sollte eigentlich kein so großes Problem darstellen... Hatte so ne anzeige mal in Xampp |
|
10.12.2008, 18:09
| #5 | |
| | Trojanische Pferd TR/Crypt.XPACK.GenZitat:
Kann mir einer von euch sagen was denn der Trojaner so macht oder wie ich sehen kann ob er sich auf mein System eingenistet hat? Grüße |
|
11.12.2008, 13:25
| #6 |
| | Trojanische Pferd TR/Crypt.XPACK.Gen ... kann mir niemand helfen??? |
|
11.12.2008, 20:35
| #7 |
| | Trojanische Pferd TR/Crypt.XPACK.Gen Hey ihr, also hab jetzt mal das Malwarebytes-Log rausgelassen es lässt mich folgendes lesen: Malwarebytes' Anti-Malware 1.31 Datenbank Version: 1489 Windows 6.0.6000 11.12.2008 20:35:42 mbam-log-2008-12-11 (20-35-42).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|K:\|) Durchsuchte Objekte: 199150 Laufzeit: 4 hour(s), 7 minute(s), 50 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Soll das heißen, dass mein System nicht infiziert war und der ZIP-Ordner nur auf meiner Festplatte war aber nicht ausgeführt wurde?????????? Dann hätte es ja gereicht den ZIP Ordner zu löschen oder???? Oder hätte auch das Malwarbytes infiziert/gefälscht werden können da das Programm deutlich nach dem ZipOrdner auf meinem System war??? Besten Dank für Eure Antworten im Voraus! Grüße |
|
13.12.2008, 12:57
| #8 |
| | Trojanische Pferd TR/Crypt.XPACK.Gen ... hmm ist mein Problem so Umfassend, dass dazu niemand eine Aussage machen kann? Na los gebt euch n Ruck  Grüße und  im Voraus! |
|
13.12.2008, 18:35
| #9 |
| | Trojanische Pferd TR/Crypt.XPACK.Gen ... was fehlen Euch denn noch für Daten damit irgendjemand hier sich erbarmt und mir eine Antwort/Hilfe gibt? Mag doch eigentlich gar nicht viel wissen - mag nur wissen was mir das Protokoll Malware sagt ob das Positiv oder Negativ ist und wie sich der Trojaner bemerkbar macht wenn ich das System infiziert habe... Hab die SuFu benutzt aber da wird auch nur auf die Logs verwiesen und jetzt weiß ich nicht was ich aus meinen Logs für eine logische Konsequenz ziehen soll bzw wie ich diesen **cking Trojaner von meinem System bekomme... Nochmal Danke für den der sich erbarmt! |
|
| Themen zu Trojanische Pferd TR/Crypt.XPACK.Gen |
| 0 bytes, adobe, antivir, audiodg.exe, avg, avgnt.exe, avira, bho, cdburnerxp, daemontools, defender, dwm.exe, firefox, hijack, internet, internet explorer, jusched.exe, local\temp, logon.exe, mein log, monitor, mozilla, nt.dll, object, problem, programdata, prozesse, registry, rundll, services.exe, software, start menu, sttray.exe, suchlauf, svchost.exe, systemüberprüfung, tr/crypt.xpack.ge, tr/crypt.xpack.gen, verweise, virus, virus gefunden, warnung, windows, windows defender, windows sidebar |
Linear-Darstellung
