Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojanisches Pferd TR/Crypt.XPACK.Gen - ist es jetzt plötzlich weg? Anbei HJT File

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 09.12.2007, 11:05   #1
Cage
 
Trojanisches Pferd TR/Crypt.XPACK.Gen - ist es jetzt plötzlich weg? Anbei HJT File - Icon17

Trojanisches Pferd TR/Crypt.XPACK.Gen - ist es jetzt plötzlich weg? Anbei HJT File



Hallo zusammen,

seit ein paar Tagen verhält sich mein Rechner merkwürdig (u.a. zu langsam). Tatsächlich hat AntiVir beim Start des IE auch zwei Dateien als Trojanische Pferde identifiziert.

Mehrmaliges Scannen und Löschen, auch im abgesicherten Modus, mit Antivir hat wenig gebracht. Bei jedem Start des IE traten die bösen Files wieder auf. Und jetzt, nach dem letzten Scan, plötzlich nicht mehr.... ??!!

Ich habe daraufhin mal HJT angewendet. Vielleicht könnt ihr ja etwas mit diesen Daten von Antivirund Hijack This etwas anfangen?

Über Tipps würde ich mich sehr freuen, da ich mir große Sorgen mache, dass meine Daten in der Weltgeschichte herumgeschickt werden. Ist mein Rechner verseucht?


---------------------------------------------

Fund von Antivir:

Temporary Internet Files/5908349010.exe

Temporary Internet Files/daf1009[1].exe


… ist das Trojanische Pferd TR/Crypt.XPACK.Gen


In der Datei 'C:\Dokumente und Einstellungen\D\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1N67CDAQ\daf1009[1].exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [TR/Crypt.XPACK.Gen] gefunden.
Ausgeführte Aktion: Datei löschen

In der Datei 'C:\Dokumente und Einstellungen\D\Lokale Einstellungen\Temp\5908349010.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [TR/Crypt.XPACK.Gen] gefunden.
Ausgeführte Aktion: Datei löschen


---------------------------------------


Logfile of HijackThis v1.99.1
Scan saved at 12:00:14, on 09.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\SAMSUNG\Keydefin\KeyDefin.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\DTV\RemoteControl.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\X\Eigene Dateien\Dokumente\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmail.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [SAMSUNG Keydefin] C:\Programme\SAMSUNG\Keydefin\KeyDefin.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CmUsbAudio] RunDll32 cmcnfg2.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [DTVRemote] "C:\Programme\DTV\RemoteControl.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Shareaza] "C:\Programme\shareaza\Shareaza.exe" -tray
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C8F06CA-A119-4D8A-8417-828C7CD58AA5}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: haufereader - (no CLSID) - (no file)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe


Vielen Dank im Voraus!

Alt 09.12.2007, 21:40   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojanisches Pferd TR/Crypt.XPACK.Gen - ist es jetzt plötzlich weg? Anbei HJT File - Standard

Trojanisches Pferd TR/Crypt.XPACK.Gen - ist es jetzt plötzlich weg? Anbei HJT File



Hallo.

Zitat:
Temporary Internet Files/5908349010.exe
Temporary Internet Files/daf1009[1].exe
… ist das Trojanische Pferd TR/Crypt.XPACK.Gen
Der Dateipfad ist in beiden Fällen der für die temp. Internetdateien des Internet Explorers - den solltest du nach Möglichkeit nicht nutzen! Besorg dir mal den CCleaner, der löscht u.a. auch die temp. Internetdateien.

Zitat:
C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
Java verträgt bei dir ein Update...

Zitat:
Logfile of HijackThis v1.99.1
Du hast die alte Version von HJT benutzt. Erstell mal ein neues Logfile mit dieser umbenannten hijackthis.exe.
__________________

__________________

Alt 16.12.2007, 17:16   #3
Cage
 
Trojanisches Pferd TR/Crypt.XPACK.Gen - ist es jetzt plötzlich weg? Anbei HJT File - Standard

Trojanisches Pferd TR/Crypt.XPACK.Gen - ist es jetzt plötzlich weg? Anbei HJT File



Vielen Dank, cosinus!

Ich habe deinen Ratschlag befolgt. Hier nun das neue File. Ist mein Rechner immer noch verseucht?

(Wie ist das eigentlich mit einem Neuaufsetzen eines Systems, würdet ihr das in meinem Fall empfehlen? Ich habe eine XP-Version die es zu einem Notebook dazu gab, also OEM vermutlich. Gibt es dann bei der Neuinstallation des Systems Probleme bzgl. Registrierung, oder "Produktaktivierung" o.ä.?)



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:16:38, on 16.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\SAMSUNG\Keydefin\KeyDefin.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\DTV\RemoteControl.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\shareaza\Shareaza.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\msiexec.exe
C:\Dokumente und Einstellungen\D\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7UU1X82U\abc123[1].com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmail.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [SAMSUNG Keydefin] C:\Programme\SAMSUNG\Keydefin\KeyDefin.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CmUsbAudio] RunDll32 cmcnfg2.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [DTVRemote] "C:\Programme\DTV\RemoteControl.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Shareaza] "C:\Programme\shareaza\Shareaza.exe" -tray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.139 85.255.112.183
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.139 85.255.112.183
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.139 85.255.112.183
O18 - Protocol: haufereader - (no CLSID) - (no file)
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

--
End of file - 8697 bytes


Vielen Dank schonmal!!!
__________________

Alt 17.12.2007, 16:06   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojanisches Pferd TR/Crypt.XPACK.Gen - ist es jetzt plötzlich weg? Anbei HJT File - Standard

Trojanisches Pferd TR/Crypt.XPACK.Gen - ist es jetzt plötzlich weg? Anbei HJT File



Ach herrje, es scheint so, als hätte ein Schädling deine TCP-Einstellungen umgebogen:

Code:
ATTFilter
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.139 85.255.112.183
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.139 85.255.112.183
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.139 85.255.112.183
         
Dein Nameserver steht nun in der Ukraine...du betreibst doch etwa kein Onlinebanking oder?

Zitat:
(Wie ist das eigentlich mit einem Neuaufsetzen eines Systems, würdet ihr das in meinem Fall empfehlen?
Naja, bis auf die Ukraine-Einträge hab ich noch nichts entdeckt, aber bei diesen umgebogenen Einstellungen wurde schon häufig zu einem Neuaufsetzen geraten...

Zitat:
Ich habe eine XP-Version die es zu einem Notebook dazu gab, also OEM vermutlich. Gibt es dann bei der Neuinstallation des Systems Probleme bzgl. Registrierung, oder "Produktaktivierung" o.ä.?
Bei der Aktivierung sollten keine Probleme auftreten, es sei denn es wurde schon zu häufig übers Internet aktualisiert. Wie oft allerdings, weiß ich jetzt nicht. Du wirst dann eine dementsprechende Meldung bekommen, du kannst dann aber rel. problemlos per Telefon Windows aktivieren. Eine Registrierung ist nicht notwendig, nur optional.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 17.12.2007, 21:06   #5
Cage
 
Trojanisches Pferd TR/Crypt.XPACK.Gen - ist es jetzt plötzlich weg? Anbei HJT File - Standard

Trojanisches Pferd TR/Crypt.XPACK.Gen - ist es jetzt plötzlich weg? Anbei HJT File



Ähm... doch... JETZT BIN ICH ERNSTHAFT BESORGT!!!


Online-Banking betreibe ich natürlich!

Was heißt das, dass mein Name-Server in der Ukraine steht?? Was ist ein Name-Server und ist das gefährlich??

Ich habe diese drei Einträge mal direkt mittels HijackThis gefixt. Ich hoffe, jetzt ist alles okay. Die Einträge sind jedenfalls weg. Bin ich jetzt sauber?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:08:34, on 17.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\SAMSUNG\Keydefin\KeyDefin.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\DTV\RemoteControl.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\shareaza\Shareaza.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\D\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7UU1X82U\abc123[1].com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmail.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [SAMSUNG Keydefin] C:\Programme\SAMSUNG\Keydefin\KeyDefin.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CmUsbAudio] RunDll32 cmcnfg2.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [DTVRemote] "C:\Programme\DTV\RemoteControl.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Shareaza] "C:\Programme\shareaza\Shareaza.exe" -tray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O18 - Protocol: haufereader - (no CLSID) - (no file)
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

--
End of file - 8385 bytes

Ich kann natürlich auch auf Nummer Sicher gehen und das System neu aufsetzen, würde das aber lieber vermeiden. Wie läuft denn diese Produktaktivierung? Ich würde mir dann XP SP3, XP Updates, Antivir vorher runterladen und das dann installieren. Hab ich noch etwas vergessen?


Alt 17.12.2007, 21:16   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojanisches Pferd TR/Crypt.XPACK.Gen - ist es jetzt plötzlich weg? Anbei HJT File - Standard

Trojanisches Pferd TR/Crypt.XPACK.Gen - ist es jetzt plötzlich weg? Anbei HJT File



Zitat:
Was heißt das, dass mein Name-Server in der Ukraine steht?? Was ist ein Name-Server und ist das gefährlich??
Ein Nameserver ist ein Server, der das sog. DNS betreibt. Jedesmal, wenn du eine Website aufrufst, fragt dein Rechner erstmal einen Nameserver, welche IP-Nummer für die jew. Webadresse steht, und bekommt dann eben eine Antwort mit der IP-Nummer. Wenn jetzt aber ein nicht vertrauenswürdiger Server die Namen auflöst, kann es sein, dass du auf einer ganz anderen Seite landest (da andere IP-Nummer geliefert wurde), und nicht auf der "richtigen" Seite deiner Bank!!

=> Domain Name System - Wikipedia

Zitat:
Ich kann natürlich auch auf Nummer Sicher gehen und das System neu aufsetzen, würde das aber lieber vermeiden. Wie läuft denn diese Produktaktivierung? Ich würde mir dann XP SP3, XP Updates, Antivir vorher runterladen und das dann installieren. Hab ich noch etwas vergessen?
Tja, ob du das Risiko eingehen willst... Schädlinge, die sowas umbiegen, können auch mehr umgebogen haben in deinem System.

Das SP3 ist doch noch nicht draußen, nur ne Vorabversion! Produktaktivierung läuft normalerweise ganz easy übers Internet in Null komma nix, nur wenn schon zu häufig deine Version aktiviert wurde, musst du das telefonisch machen, ist aber auch nicht besonders wild.
__________________
--> Trojanisches Pferd TR/Crypt.XPACK.Gen - ist es jetzt plötzlich weg? Anbei HJT File

Alt 18.12.2007, 10:42   #7
Cage
 
Trojanisches Pferd TR/Crypt.XPACK.Gen - ist es jetzt plötzlich weg? Anbei HJT File - Standard

Trojanisches Pferd TR/Crypt.XPACK.Gen - ist es jetzt plötzlich weg? Anbei HJT File



Vielen Dank, Cosinus!

Das ist aber echt gruselig. Denn ausgerechnet meine Sparkassen-Seite ist in letzter Zeit EXTREM langsam! Ansonsten konnte ich daran allerdings keine Besonderheiten feststellen. Ich habe ein paar Überweisungen getätigt und alles wird korrekt angezeigt.

Werde ich da ausspioniert? Oder kann das natürliche Ursachen haben, dass meine Sparkassen-Seite so lahm ist (auf dem Firmenrechner lädt sie ruck zuck)

Alt 18.12.2007, 16:04   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojanisches Pferd TR/Crypt.XPACK.Gen - ist es jetzt plötzlich weg? Anbei HJT File - Standard

Trojanisches Pferd TR/Crypt.XPACK.Gen - ist es jetzt plötzlich weg? Anbei HJT File



Zitat:
Das ist aber echt gruselig. Denn ausgerechnet meine Sparkassen-Seite ist in letzter Zeit EXTREM langsam! Ansonsten konnte ich daran allerdings keine Besonderheiten feststellen. Ich habe ein paar Überweisungen getätigt und alles wird korrekt angezeigt.
Gut mögllich, dass es bei dir an den verbogenen Einstellungen lag/liegt. In dem jetzigen Zustand der Kiste würde ich jedenfalls kein Onlinebanking mehr vorsichtshalber machen. Achte die nächste Zeit zur Sicherheit penibel auf dein Konto!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 19.12.2007, 16:52   #9
Cage
 
Trojanisches Pferd TR/Crypt.XPACK.Gen - ist es jetzt plötzlich weg? Anbei HJT File - Standard

Trojanisches Pferd TR/Crypt.XPACK.Gen - ist es jetzt plötzlich weg? Anbei HJT File



Alles klar, dann werde ich den Rechner mal am Wochenende neu aufsetzen.

Wie formatiere ich denn meine Festplatte? Soll ich einfach die Windows-Installations-CD einlegen und dann die Option wählen, dass Windows neu installiert und die Festplatte partitioniert werden soll?

Wie kann ich denn XP über Internet aktivieren, wenn der Rechner doch dann "leer" ist - kann man dann trotzdem schon damit ins Internet?

Oh Mann...

Bin mal gespannt ob ich DAU das noch hinkriege...

Alt 19.12.2007, 21:26   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojanisches Pferd TR/Crypt.XPACK.Gen - ist es jetzt plötzlich weg? Anbei HJT File - Standard

Trojanisches Pferd TR/Crypt.XPACK.Gen - ist es jetzt plötzlich weg? Anbei HJT File



Zitat:
Wie formatiere ich denn meine Festplatte? Soll ich einfach die Windows-Installations-CD einlegen und dann die Option wählen, dass Windows neu installiert und die Festplatte partitioniert werden soll?
Das ist prinzipiell richtig - von der Windows-CD booten, Windows jetzt installieren wählen, die gefundene Windows-Installation NICHT reparieren, dann hast du im folgenden die Möglichkeit auf der bestehenden Systempartition Windows zu installieren und musst dann befehlen, diese Partition zu formatieren.

Hast du eine Windows-CD mit integriertem SP2? Wenn nicht, musst du das noch im Nachhinein einspielen, wenn Windows fertig installiert ist.

Da ist auch noch was zu beachten. Wenn die Windows-CD nicht mindestens das SP1 schon intus hast, kann's Probleme bei großen Platten geben. Wie groß ist deine Platte und die schon jetzt bestehende Systempartition?

Zitat:
Wie kann ich denn XP über Internet aktivieren, wenn der Rechner doch dann "leer" ist - kann man dann trotzdem schon damit ins Internet?
Beim Aktivieren musst du dir kein Stress machen, denn du hast 30 Tage Zeit dafür. Richte den Rechner in Ruhe ein, sicher ihn ab, dann kannst du dich ums Aktivieren kümmern. Windows müsste dich nach ner Zeit auch dazu auffordern.

Vllt. hilft dir auch dieser XP-Installaguide weiter.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 20.12.2007, 10:00   #11
Cage
 
Trojanisches Pferd TR/Crypt.XPACK.Gen - ist es jetzt plötzlich weg? Anbei HJT File - Standard

Trojanisches Pferd TR/Crypt.XPACK.Gen - ist es jetzt plötzlich weg? Anbei HJT File



Hallo cosinus,

vielen Dank für die Hilfe, jetzt hab ich schon gleich weniger Furcht vor der Neuinstallation. Ich habe im Notebook eine 60 GB Platte, das dürfte ja nicht so riesig sein. ich glaube, auf der CD ist auch SP1 drauf. Danach spiele ich dann SP2 drauf. SP3 ist ja anscheinend noch nicht raus.

Kann ich jetzt, wenn ich die Daten sichere, eigentlich einfach ein paar Sachen auf meine externe Festplatte rüberziehen - oder wird sie dadurch auch infiziert?

Vielen Dank noch einmal für deine Unterstützung.

Ach, noch eine wichtige Frage: Soll ich meine Festplatte so partitionieren, dass ich zwei Partitionen habe? Also eine z.B. mit 2 GB (?) für das System und der Rest für sonstige Daten?

Geändert von Cage (20.12.2007 um 10:33 Uhr)

Alt 20.12.2007, 22:51   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojanisches Pferd TR/Crypt.XPACK.Gen - ist es jetzt plötzlich weg? Anbei HJT File - Standard

Trojanisches Pferd TR/Crypt.XPACK.Gen - ist es jetzt plötzlich weg? Anbei HJT File



Zitat:
Ich habe im Notebook eine 60 GB Platte, das dürfte ja nicht so riesig sein. ich glaube, auf der CD ist auch SP1 drauf.
Ah, dann kannst du die Sache etwas gelassener angehen. Unangenehm wäre es geworden, wenn du eine Platte größer 128 GiB (137 GB) drin hättest und die Windows-CD noch kein SP intus hätte, denn dann wird eine große Platte nur als 131000 MB erkannt. Aber mit 60 GB kein Problem.

Zitat:
Kann ich jetzt, wenn ich die Daten sichere, eigentlich einfach ein paar Sachen auf meine externe Festplatte rüberziehen - oder wird sie dadurch auch infiziert?
Kommt drauf an, was du da so sicherst. Ausführbare Dateien sollten es nicht sein, nur reine Datendateien wie Musik, Videos oder Officedokumente etc.
Wer ganz paranoid ist, sichert diese Daten von einem Fremdsystem wie Knoppix oder BartPE aus, dann geht man sicher, dass garantiert keine Schädlinge da was beeinflussen können...

Zitat:
Ach, noch eine wichtige Frage: Soll ich meine Festplatte so partitionieren, dass ich zwei Partitionen habe? Also eine z.B. mit 2 GB (?) für das System und der Rest für sonstige Daten?
Das macht schon Sinn, min. zwei Partitionen. So hätte man dann eine für Windows und die Programme und eine extra für reine Daten. Fürs System würde ich aber wesentlich mehr veranschlagen als nur 2 GB, denn die braucht Windows schon alleine. Dann kommen noch Auslagerungsdatei und evtl. die hiberfil.sys (für den Ruhezustand) hinzu, dass macht je nach verfügbarem Arbeitsspeicher auch gut und gerne einiges aus (GB-Bereich). Ich würde ca. 15-20 GB fürs System nehmen und den Rest für eine Datenpartition.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 23.12.2007, 11:22   #13
Cage
 
Trojanisches Pferd TR/Crypt.XPACK.Gen - ist es jetzt plötzlich weg? Anbei HJT File - Standard

Trojanisches Pferd TR/Crypt.XPACK.Gen - ist es jetzt plötzlich weg? Anbei HJT File



Das hat soweit alles prima geklappt.

Irgendwas verdächtiges hier drin?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:20:34, on 23.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\FRITZ!DSL\fwebprot.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Sceneo\Vrecord\Vrecord.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Dokumente und Einstellungen\D\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5U7CPUN\abc123[1].com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmail.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Customize Your Settings
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe

--
End of file - 6234 bytes


Bitte bitte nicht...

Der Computer läuft jedenfalls wieder richtig flott.

Ich wünsche schonmal ein Frohes Weihnachtsfest!

Alt 23.12.2007, 17:26   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojanisches Pferd TR/Crypt.XPACK.Gen - ist es jetzt plötzlich weg? Anbei HJT File - Standard

Trojanisches Pferd TR/Crypt.XPACK.Gen - ist es jetzt plötzlich weg? Anbei HJT File



Verdächtiges nicht, aber:

Zitat:
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
Adobe Acrobat ist uralt. Deinstallier diese Version und nimm den aktuellen Adobe Reader 8.1.1 oder als Alternative den schlanken Foxit Reader.

Zitat:
C:\Programme\Internet Explorer\iexplore.exe
Besser nicht verwenden, stattdessen einen aktuellen Alternativbrowser wie z.B. Firefox.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Trojanisches Pferd TR/Crypt.XPACK.Gen - ist es jetzt plötzlich weg? Anbei HJT File
abgesicherten modus, adobe, antivir, avira, bho, computer, content.ie5, dsl, einstellungen, excel, explorer, hijack, hijack this, hijackthis, internet, internet explorer, langsam, programm, rechner verseucht, rundll, scan, software, system, tr/crypt.xpack.ge, tr/crypt.xpack.gen, tr/crypt.xpack.gen', trojanische pferde, trojanisches pferd, unknown file in winsock lsp, virus, windows, windows xp, zu langsam



Ähnliche Themen: Trojanisches Pferd TR/Crypt.XPACK.Gen - ist es jetzt plötzlich weg? Anbei HJT File


  1. Trojanische Pferd TR/Crypt.Xpack.14526
    Log-Analyse und Auswertung - 15.07.2015 (13)
  2. Trojanisches Pferd TR/Crypt.XPACK.Gen3 gefunden ... Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 07.04.2013 (11)
  3. Trojanische Pferd TR/Crypt.XPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 16.08.2012 (1)
  4. Trojanisches Pferd TR/Crypt.XPACK.Gen3
    Log-Analyse und Auswertung - 02.04.2012 (1)
  5. Trojanisches Pferd TR/Crypt.zpack.gen2 gefunden. Kein Internet!
    Plagegeister aller Art und deren Bekämpfung - 19.03.2012 (62)
  6. Trojanisches Pferd TR/Crypt.XPACK.Gen und andere
    Plagegeister aller Art und deren Bekämpfung - 07.01.2011 (5)
  7. Trojanisches Pferd TR/Patched.Gen //// Trojanisches Pferd TR/Refroso.ayol
    Überwachung, Datenschutz und Spam - 26.12.2010 (6)
  8. windows\system32\gff6.exe ist trojanisches Pferd TR/Crypt.PEPM.Gen
    Log-Analyse und Auswertung - 16.10.2010 (19)
  9. Trojanisches Pferd TR/Crypt.ZPACK.Gen gefunden - was tun?
    Plagegeister aller Art und deren Bekämpfung - 13.10.2010 (17)
  10. Trojanisches Pferd TR/Crypt.XPACK.Gen2
    Plagegeister aller Art und deren Bekämpfung - 12.10.2010 (5)
  11. Trojanisches Pferd TR/Crypt.XPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 22.05.2010 (3)
  12. Trojanisches Pferd TR/Crypt.XPACK.Gen2 / gebxxv.dll
    Plagegeister aller Art und deren Bekämpfung - 06.05.2010 (1)
  13. Trojanisches pferd tr/crypt/xpack:gen
    Plagegeister aller Art und deren Bekämpfung - 05.01.2010 (3)
  14. TROJANISCHES PFERD TR/CRYPT/XPACK:GENyY>
    Plagegeister aller Art und deren Bekämpfung - 23.12.2009 (1)
  15. Trojanisches Pferd in verschiedenen Ausführungen (Vilsel/PCK/Crypt/Dldr)
    Plagegeister aller Art und deren Bekämpfung - 07.12.2009 (3)
  16. Trojanische Pferd TR/Crypt.XPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 13.12.2008 (8)
  17. Trojanisches Pferd TR/Crypt.XPACK.Gen , bekomme diesen Trojaner nicht gelöscht
    Plagegeister aller Art und deren Bekämpfung - 04.10.2007 (4)

Zum Thema Trojanisches Pferd TR/Crypt.XPACK.Gen - ist es jetzt plötzlich weg? Anbei HJT File - Hallo zusammen, seit ein paar Tagen verhält sich mein Rechner merkwürdig (u.a. zu langsam). Tatsächlich hat AntiVir beim Start des IE auch zwei Dateien als Trojanische Pferde identifiziert. Mehrmaliges Scannen - Trojanisches Pferd TR/Crypt.XPACK.Gen - ist es jetzt plötzlich weg? Anbei HJT File...
Archiv
Du betrachtest: Trojanisches Pferd TR/Crypt.XPACK.Gen - ist es jetzt plötzlich weg? Anbei HJT File auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.