Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: TR/Crypt.XPACK.Gen3 Trojaner gefunden!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 23.06.2011, 12:05   #1
Jozan
 
TR/Crypt.XPACK.Gen3 Trojaner gefunden! - Standard

TR/Crypt.XPACK.Gen3 Trojaner gefunden!



Hallo wertes Trojanerforum,

Ich habe gestern die Fehlermeldung eines Trojaners bekommen. Avira Antivir meldete eine Datei unter C:ProgramData\ danach verschiedenen Namen bestehend aus Zahlen (z.b. 30990034) Dies sei der Trojaner TR/Crypt.XPACK.Gen3
Der Laptop meldet, dass auf eine Festplatte nichtmehr zugegriffen werden kann. Die genauen Auswirkungen kann ich kaum beschreiben, aber der PC ist extrem langsam, mein Desktophintergrund ist schwarz und alle Desktopsymbole außer den Elementaren wie Windowsexplorer etc. sind unsichbar.
Wenn ich die Datei lösche kommt direkt eine neue Fehlermeldung mit gleichem Dateipfad aber neuem Dateinamen (andere Zahlen als Name) Auch Avira kann das Problem nicht beheben.
Dazu kommt, dass nach einer bestimmten Zeit ein Fenster sich öffnet:
,,Windows- Datenverlust beim Schreiben
Windows konnte alle Daten fur die Datei \\System32\\496A8300 nicht speichern. Daten verloren. Dieser Fehler kann durch einen Ausfall der Hardware verursacht werden." Darunter die Schaltflächen Abbrechen, Wiederholen, Weiter. Egal was davon ich auswähle, der PC wird sofort neugestartet. Auch jetzt gerade ist das Fenster offen, aber ich betätige einfach keine der Schaltflächen.

Ich habe versucht, alle Programme mit denen man im Forum log-Dateiern etc. erstellt zu nutzen, aber ich glaube ich mache irgendetwas falsch, denn die Log dateiern wurden dann ger nicht erstellt. Hat jemand evtl. noch eine detailiertere Beschreibung, die ich damit umgehe?

Einzig Anitivir erstellte eine vernünftige Log Datei:


Code:
ATTFilter
 
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 23. Juni 2011  01:53
 
Es wird nach 2817315 Virenstämmen gesucht.
 
Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows Vista
Windowsversion : (Service Pack 2)  [6.0.6002]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : GÖTZ
 
Versionsinformationen:
BUILD.DAT      : 9.0.0.429     21701 Bytes  06.10.2010 09:59:00
AVSCAN.EXE     : 9.0.3.10     466689 Bytes  19.11.2009 17:16:39
AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 11:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 10:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 09:41:59
VBASE000.VDF   : 7.10.0.0   19875328 Bytes  06.11.2009 17:16:38
VBASE001.VDF   : 7.11.0.0   13342208 Bytes  14.12.2010 15:42:08
VBASE002.VDF   : 7.11.3.0    1950720 Bytes  09.02.2011 20:03:00
VBASE003.VDF   : 7.11.5.225   1980416 Bytes  07.04.2011 17:55:38
VBASE004.VDF   : 7.11.8.178   2354176 Bytes  31.05.2011 18:50:36
VBASE005.VDF   : 7.11.8.179      2048 Bytes  31.05.2011 18:50:36
VBASE006.VDF   : 7.11.8.180      2048 Bytes  31.05.2011 18:50:36
VBASE007.VDF   : 7.11.8.181      2048 Bytes  31.05.2011 18:50:36
VBASE008.VDF   : 7.11.8.182      2048 Bytes  31.05.2011 18:50:36
VBASE009.VDF   : 7.11.8.183      2048 Bytes  31.05.2011 18:50:36
VBASE010.VDF   : 7.11.8.184      2048 Bytes  31.05.2011 18:50:36
VBASE011.VDF   : 7.11.8.185      2048 Bytes  31.05.2011 18:50:36
VBASE012.VDF   : 7.11.8.186      2048 Bytes  31.05.2011 18:50:36
VBASE013.VDF   : 7.11.8.222    121856 Bytes  02.06.2011 18:48:49
VBASE014.VDF   : 7.11.9.7     134656 Bytes  04.06.2011 20:16:20
VBASE015.VDF   : 7.11.9.42    136192 Bytes  06.06.2011 20:16:30
VBASE016.VDF   : 7.11.9.72    117248 Bytes  07.06.2011 20:16:29
VBASE017.VDF   : 7.11.9.107    130560 Bytes  09.06.2011 20:16:27
VBASE018.VDF   : 7.11.9.143    132096 Bytes  10.06.2011 16:30:50
VBASE019.VDF   : 7.11.9.172    141824 Bytes  14.06.2011 16:30:51
VBASE020.VDF   : 7.11.9.214    144896 Bytes  15.06.2011 16:30:51
VBASE021.VDF   : 7.11.9.244    196608 Bytes  16.06.2011 09:36:21
VBASE022.VDF   : 7.11.10.28    152576 Bytes  20.06.2011 12:39:02
VBASE023.VDF   : 7.11.10.53    210432 Bytes  21.06.2011 13:04:10
VBASE024.VDF   : 7.11.10.54      2048 Bytes  21.06.2011 13:04:11
VBASE025.VDF   : 7.11.10.55      2048 Bytes  21.06.2011 13:04:11
VBASE026.VDF   : 7.11.10.56      2048 Bytes  21.06.2011 13:04:11
VBASE027.VDF   : 7.11.10.57      2048 Bytes  21.06.2011 13:04:11
VBASE028.VDF   : 7.11.10.58      2048 Bytes  21.06.2011 13:04:11
VBASE029.VDF   : 7.11.10.59      2048 Bytes  21.06.2011 13:04:12
VBASE030.VDF   : 7.11.10.60      2048 Bytes  21.06.2011 13:04:12
VBASE031.VDF   : 7.11.10.68     61440 Bytes  22.06.2011 13:04:14
Engineversion  : 8.2.5.24 
AEVDF.DLL      : 8.1.2.1      106868 Bytes  29.07.2010 18:24:32
AESCRIPT.DLL   : 8.1.3.65    1606010 Bytes  27.05.2011 18:48:27
AESCN.DLL      : 8.1.7.2      127349 Bytes  22.11.2010 16:19:16
AESBX.DLL      : 8.2.1.34     323957 Bytes  02.06.2011 18:49:38
AERDL.DLL      : 8.1.9.9      639347 Bytes  25.03.2011 18:30:09
AEPACK.DLL     : 8.2.6.9      557429 Bytes  17.06.2011 09:36:28
AEOFFICE.DLL   : 8.1.1.25     205178 Bytes  02.06.2011 18:49:35
AEHEUR.DLL     : 8.1.2.132   3567992 Bytes  22.06.2011 13:04:38
AEHELP.DLL     : 8.1.17.2     246135 Bytes  19.05.2011 18:50:03
AEGEN.DLL      : 8.1.5.6      401780 Bytes  19.05.2011 18:49:51
AEEMU.DLL      : 8.1.3.0      393589 Bytes  22.11.2010 16:18:23
AECORE.DLL     : 8.1.21.1     196983 Bytes  24.05.2011 18:47:50
AEBB.DLL       : 8.1.1.0       53618 Bytes  23.04.2010 20:50:17
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 07:47:56
AVPREF.DLL     : 9.0.3.0       44289 Bytes  08.09.2009 15:31:57
AVREP.DLL      : 10.0.0.9     174120 Bytes  04.03.2011 18:52:29
AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 14:25:04
AVARKT.DLL     : 9.0.0.3      292609 Bytes  24.03.2009 14:05:37
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 09:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 14:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 07:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 14:41:21
RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes  09.06.2009 21:09:38
RCTEXT.DLL     : 9.0.73.0      87297 Bytes  19.11.2009 17:16:38
 
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programfiles\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Auszulassende Dateien.................: C:\Programfiles\Ubisoft\Ubisoft Game Launcher\ubiorbitapi_r2.dll, 
 
Beginn des Suchlaufs: Donnerstag, 23. Juni 2011  01:53
 
Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '128227' Objekte überprüft, '0' versteckte Objekte wurden gefunden.
 
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'SearchFilterHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ntvdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MpCmdRun.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'conime.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemonu.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtkBtMnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wXOeAwgLTnnf.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hamachi-2-ui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PMVService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QtZgAcer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAAnotif.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ePower_DMC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'eDSLoader.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'eAudio.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WmiPrvSE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BJMYPRT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BkupTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ArcadeDeluxeAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDWinSec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAANTmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TnglCtrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarWindServiceAE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SchedulerSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BackupSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMSAccessU.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MobilityService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hamachi-2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ETService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'eDSService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLHNService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Agentsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NvXDSync.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '87' Prozesse mit '87' Modulen durchsucht
 
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
 
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
 
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '55' Dateien ).
 
 
Der Suchlauf über die ausgewählten Dateien wird begonnen:
 
Beginne mit der Suche in 'C:\' <ACER>
C:\hiberfil.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\AOE_3\Disk1C~1.cab
  [0] Archivtyp: CAB (Microsoft)
    --> msxml4.Manifest.21206420_6BA8_4CFB_A48C_C72A6BFE80C0
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\ProgramData\31842040.VIR
    [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen3
C:\Recycle.Bin\Recycle.Bin.exe
    [FUND]      Ist das Trojanische Pferd TR/Alureon.DX.266
C:\Users\Hans Peter\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\0\6685d300-42cf9ab3
    [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-4452.A
C:\Users\Hans Peter\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\0\96cd540-4d265270
  [0] Archivtyp: ZIP
    --> FAQ/Template.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.CK
    --> tools/Commander.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/2010-0840.A
    --> tools/Syntax.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.CL
    --> tools/XmlStandard.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.CO
C:\Users\Hans Peter\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\13\51ef78cd-2f765041
  [0] Archivtyp: ZIP
    --> blor/hytji.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BI
    --> blor/loom.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BF
    --> blor/rojk.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BC.6
    --> poml/noobl.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BG
C:\Users\Hans Peter\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17\66d46791-3eed43c3
  [0] Archivtyp: ZIP
    --> blor/hytji.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BI
    --> blor/loom.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BF
    --> blor/rojk.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BC.6
    --> poml/noobl.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BG
C:\Users\Hans Peter\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\19\1be86c13-4ad75bfe
    [FUND]      Ist das Trojanische Pferd TR/Dldr.Karagany.A.770
C:\Users\Hans Peter\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2\31c25e42-467a6163
  [0] Archivtyp: ZIP
    --> FAQ/Template.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.CK
    --> tools/Commander.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/2010-0840.A
    --> tools/Syntax.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.CL
    --> tools/XmlStandard.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.CO
C:\Users\Hans Peter\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\23\40e75957-40b75620
  [0] Archivtyp: ZIP
    --> MessageStack/SMessages.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.DQ
    --> MessageStack/Template.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.CU
    --> tools/Commander.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.CW
    --> tools/Syntax.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.CV
C:\Users\Hans Peter\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\51e18fd9-5a4247aa
  [0] Archivtyp: ZIP
    --> google/stomp.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/MundGura.D
C:\Users\Hans Peter\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3\79825e83-1c414c85
    [FUND]      Ist das Trojanische Pferd TR/Banker.Agent.cab
C:\Users\Hans Peter\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\4\6f6ac384-44bc288b
  [0] Archivtyp: ZIP
    --> MessageStack/SMessages.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.DI.1
C:\Users\Hans Peter\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\43\4d60f02b-1f3ed426
  [0] Archivtyp: ZIP
    --> MessageStack/SMessages.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.DQ
    --> MessageStack/Template.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.CU
    --> tools/Commander.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.CW
    --> tools/Syntax.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.CV
C:\Users\Hans Peter\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\44\3c5dd42c-5de39852
  [0] Archivtyp: ZIP
    --> settings/Form.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BK
    --> tools/Commander.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BR
    --> tools/Console.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BQ
    --> tools/Syntax.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BJ
C:\UsersHans Peter\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\48\67ccb430-487abe0a
  [0] Archivtyp: ZIP
    --> MessageStack/SMessages.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.DI.1
    --> tools/Commander.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Fester.F.1
    --> tools/Lexic.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.DJ.1
C:\Users\Hans Peter\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50\2ee6a072-76dcba14
  [0] Archivtyp: ZIP
    --> FAQ/Template.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.DB
    --> tools/Commander.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.DD
    --> tools/XmlStandard.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BZ
C:\UsersHans Peter\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59\48cfb67b-6911e1ac
  [0] Archivtyp: ZIP
    --> MessageStack/SMessages.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.DI.1
C:\Users\Hans Peter\AppData\Roaming\Adobe\plugs\mmc8704918.txt
    [FUND]      Ist das Trojanische Pferd TR/Kazy.23498.10
C:\Windows\System32\drivers\sptd.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <DATA>
D:\Tunngle\Tunngle Troubleshooter\TBFI-0.8.1.rar
  [0] Archivtyp: RAR
    --> TBFI.exe
      [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
D:\Tunngle\Tunngle Troubleshooter\TBFI.exe
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
 
Beginne mit der Desinfektion:
C:\ProgramData\31842040.VIR
    [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen3
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e3afaf3.qua' verschoben!
C:\Recycle.Bin\Recycle.Bin.exe
    [FUND]      Ist das Trojanische Pferd TR/Alureon.DX.266
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e65fb27.qua' verschoben!
C:\Users\Hans Peter\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\0\6685d300-42cf9ab3
    [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-4452.A
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e3afaf8.qua' verschoben!
C:\Users\Hans Peter\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\0\96cd540-4d265270
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e65faf8.qua' verschoben!
C:\Users\Hans Peter\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\13\51ef78cd-2f765041
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e67faf3.qua' verschoben!
C:\Users\Hans Peter\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17\66d46791-3eed43c3
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e66faf8.qua' verschoben!
C:\Users\Hans Peter\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\19\1be86c13-4ad75bfe
    [FUND]      Ist das Trojanische Pferd TR/Dldr.Karagany.A.770
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e67fb24.qua' verschoben!
C:\Users\Hans Peter\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2\31c25e42-467a6163
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e65faf3.qua' verschoben!
C:\Users\Hans Peter\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\23\40e75957-40b75620
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e67faf2.qua' verschoben!
C:\Users\Hans Peter\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\51e18fd9-5a4247aa
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4767034c.qua' verschoben!
C:\Users\Hans Peter\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3\79825e83-1c414c85
    [FUND]      Ist das Trojanische Pferd TR/Banker.Agent.cab
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e3afafb.qua' verschoben!
C:\Users\Hans Peter\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\4\6f6ac384-44bc288b
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e38fb28.qua' verschoben!
C:\Users\Hans Peter\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\43\4d60f02b-1f3ed426
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e38fb26.qua' verschoben!
C:\Users\Hans Peter\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\44\3c5dd42c-5de39852
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e37fb25.qua' verschoben!
C:\Users\Hans Peter\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\48\67ccb430-487abe0a
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e65faf9.qua' verschoben!
C:\Users\Hans Peter\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50\2ee6a072-76dcba14
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e67fb27.qua' verschoben!
C:\Users\Hans Peter\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59\48cfb67b-6911e1ac
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e65fafa.qua' verschoben!
C:\Users\Hans Peter\AppData\Roaming\Adobe\plugs\mmc8704918.txt
    [FUND]      Ist das Trojanische Pferd TR/Kazy.23498.10
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e65fb30.qua' verschoben!
D:\Tunngle\Tunngle Troubleshooter\TBFI-0.8.1.rar
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e48fb05.qua' verschoben!
D:\Tunngle\Tunngle Troubleshooter\TBFI.exe
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46af99b6.qua' verschoben!
 
 
Ende des Suchlaufs: Donnerstag, 23. Juni 2011  10:35
Benötigte Zeit:  3:16:24 Stunde(n)
 
Der Suchlauf wurde vollständig durchgeführt.
 
  50818 Verzeichnisse wurden überprüft
 1423818 Dateien wurden geprüft
     45 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
     20 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      3 Dateien konnten nicht durchsucht werden
 1423770 Dateien ohne Befall
  10578 Archive wurden durchsucht
      9 Warnungen
     22 Hinweise
 128227 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         
Wenn ich Defogger starte und auf Disable und dann auf Ja klicke kommt direkt die Fehlermeldung ,,unable to create log."

OTL hat letztendlich doch zwei Dateiern erstellt. beide sind jedoch ca 10 kb zu groß für den Foren-upload als Anhang, habe sie daher bei Megaupload hochgeladen, ich hoffe das ist okay:
OTD.txt
hxxp://www.megaupload.com/?d=PMTY8WFK
Extras.txt
hxxp://www.megaupload.com/?d=MO9DBH24

EDIT: Sorry, ich kam in der Panik nicht auf die Idee, zu zippen. Im Anhang sind beide Dateien gezippt.

Alt 26.06.2011, 13:14   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.XPACK.Gen3 Trojaner gefunden! - Standard

TR/Crypt.XPACK.Gen3 Trojaner gefunden!



Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!
__________________

__________________

Antwort

Themen zu TR/Crypt.XPACK.Gen3 Trojaner gefunden!
avg, exp/cve-2010-4452.a, java/2010-0840.a, java/exdoer.bc.6, java/exdoer.bf, java/exdoer.bg, java/exdoer.bi, java/exdoer.bj, java/exdoer.bk, java/exdoer.bq, java/exdoer.br, java/exdoer.ck, java/exdoer.cl, java/exdoer.co, java/exdoer.cu, java/exdoer.cv, java/exdoer.cw, java/exdoer.di.1, java/exdoer.dq, java/mundgura.d, tr/alureon.dx.266, tr/banker.agent.cab, tr/crypt.xpack.gen, tr/crypt.xpack.gen3, tr/dldr.karagany.a.770



Ähnliche Themen: TR/Crypt.XPACK.Gen3 Trojaner gefunden!


  1. TR/Crypt.XPACK.Gen3 Trojaner und HTML/ExpKit.Gen3
    Log-Analyse und Auswertung - 14.06.2014 (13)
  2. vermutlich von einem Trojaner infiziert - TR/Crypt.XPACK.Gen3 wurde von Antivir gefunden
    Plagegeister aller Art und deren Bekämpfung - 13.08.2013 (9)
  3. Trojanisches Pferd TR/Crypt.XPACK.Gen3 gefunden ... Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 07.04.2013 (11)
  4. TR/Crypt.Xpack.Gen3 gefunden :((((
    Log-Analyse und Auswertung - 23.05.2011 (2)
  5. TR/Crypt.Xpack.Gen3 gefunden
    Mülltonne - 23.05.2011 (1)
  6. TR/Crypt.XPACK.Gen3 auf Rechner zwei mal gefunden.
    Plagegeister aller Art und deren Bekämpfung - 11.04.2011 (25)
  7. Antivir hat die Trojaner Tiny.psa, Dropper.Gen und Crypt.XPACK.Gen3 gefunden
    Plagegeister aller Art und deren Bekämpfung - 01.03.2011 (3)
  8. Antir hat Trojaner TR/Crypt.XPACK.Gen3 in C:\System Volume Information ... gefunden!
    Log-Analyse und Auswertung - 28.02.2011 (1)
  9. Win32.autorun.tmp und TR/Crypt.XPACK.Gen3 gefunden - wie entfernen?
    Plagegeister aller Art und deren Bekämpfung - 07.12.2010 (46)
  10. W32/Induc.A, TR/Dropper.Gen, TR/Crypt.ZPACK.Gen, TR/Crypt.XPACK.Gen3 gefunden - wie entfernen
    Plagegeister aller Art und deren Bekämpfung - 01.12.2010 (5)
  11. TR/Crypt.XPACK.Gen3 von Avira Guard gefunden
    Plagegeister aller Art und deren Bekämpfung - 19.11.2010 (9)
  12. TR/Crypt.XPACK.Gen3 in DLL Datei gefunden
    Plagegeister aller Art und deren Bekämpfung - 29.10.2010 (2)
  13. TR/Crypt.XPACK.Gen3 - nach formatierung von C: TR/Crypt.XPACK.Gen2 gefunden
    Plagegeister aller Art und deren Bekämpfung - 17.10.2010 (9)
  14. TR/Crypt.xpack.gen3 -gefunden
    Plagegeister aller Art und deren Bekämpfung - 12.10.2010 (28)
  15. TR/Crypt.XPACK.Gen3 gefunden und fremder Zugriff auf Passwörter
    Plagegeister aller Art und deren Bekämpfung - 12.10.2010 (3)
  16. TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen?
    Plagegeister aller Art und deren Bekämpfung - 05.10.2010 (17)
  17. Trojaner TR/Dldr.Small.aulw und TR/Crypt.XPACK.Gen2 + Gen3 gefunden
    Plagegeister aller Art und deren Bekämpfung - 26.09.2010 (15)

Zum Thema TR/Crypt.XPACK.Gen3 Trojaner gefunden! - Hallo wertes Trojanerforum, Ich habe gestern die Fehlermeldung eines Trojaners bekommen. Avira Antivir meldete eine Datei unter C:ProgramData\ danach verschiedenen Namen bestehend aus Zahlen (z.b. 30990034) Dies sei der Trojaner - TR/Crypt.XPACK.Gen3 Trojaner gefunden!...
Archiv
Du betrachtest: TR/Crypt.XPACK.Gen3 Trojaner gefunden! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.