AntiVir findet TR/Crypt.XPAC.Gen

Arthur Dent · 02.11.2008, 00:16

Hallo,

ich habe vor zwei Tagen nach langer Zeit mal wieder einen Viren-Scan durchlaufen lassen und AntiVir hat 2x den Trojaner TP/Crypt.XPACK.Gen gefunden. Nachdem ich nun mehrere Stunden das Internet durchwühlt habe und verschiedenste Möglichkeiten gefunden habe, wie man ihn wieder los wird, aber leider nicht viel Ahnung habe, hoffe ich, dass ich hier Hilfe bekommen kann. U. a. habe ich hier gelesen, dass HijackThis hilfreich sein kann, daher poste ich mein Ergebnis hier mal:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:39:11, on 01.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\ASUS\NB Probe\SPM\spmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\ASUSTeK\ASUSDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Wireless Console 2\wcourier.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\ASUS\Power4 Gear\BatteryLife.exe
C:\Programme\PowerForPhone\PowerForPhone\PowerForPhone.exe
C:\Programme\ASUS\Splendid\ACMON.exe
C:\WINDOWS\sm56hlpr.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\EPSON\Creativity Suite\Event Manager\EEventManager.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ACEngSvr.exe
C:\Programme\ASUS\ASUS Live Update\ALU.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Samsung\Samsung PC Studio 7\LaunchApplication.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\ASUS\Asus ChkMail\ChkMail.exe
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\ASUS\Asus MultiFrame\MultiFrame.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng1.exe
C:\Programme\FinePixViewer\QuickDCF2.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.asus.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\ASUSTeK\ASUSDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Wireless Console 2] C:\Programme\Wireless Console 2\wcourier.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [PowerForPhone] C:\Programme\PowerForPhone\PowerForPhone\PowerForPhone.exe
O4 - HKLM\..\Run: [ABLKSR] C:\WINDOWS\ABLKSR\ABLKSR.exe
O4 - HKLM\..\Run: [ACMON] C:\Programme\ASUS\Splendid\ACMON.exe
O4 - HKLM\..\Run: [SMSERIAL] C:\WINDOWS\sm56hlpr.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [EEventManager] C:\Programme\EPSON\Creativity Suite\Event Manager\EEventManager.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [ASUS Live Update] C:\Programme\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SamsungPCSuiteTrayApplication] C:\Programme\Samsung\Samsung PC Studio 7\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ASUS ChkMail.lnk = C:\Programme\ASUS\Asus ChkMail\ChkMail.exe
O4 - Global Startup: MultiFrame.lnk = ?
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Exif Launcher 2.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - h**p://support.asus.com/common/asusTek_sys_ctrl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1224780032859
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: spmgr - Unknown owner - C:\Programme\ASUS\NB Probe\SPM\spmgr.exe

--
End of file - 13066 bytes

Hier auch das Protokoll von AntiVir:

Code:

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 30. Oktober 2008  05:31

Es wird nach 998155 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:   (Service Pack 3)  [5.1.2600]
Boot Modus:       Normal gebootet
Benutzername:     SYSTEM
Computername:     XXX

Versionsinformationen:
BUILD.DAT     : 8.2.0.334      16933 Bytes  16.10.2008 14:53:00
AVSCAN.EXE    : 8.1.4.7       315649 Bytes  17.07.2008 20:40:10
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  17.07.2008 20:40:10
LUKE.DLL      : 8.1.4.5       164097 Bytes  17.07.2008 20:40:10
LUKERES.DLL   : 8.1.4.0        12545 Bytes  17.07.2008 20:40:10
ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  27.10.2008 04:22:28
ANTIVIR1.VDF  : 7.1.0.1         2048 Bytes  27.10.2008 04:22:28
ANTIVIR2.VDF  : 7.1.0.2         2048 Bytes  27.10.2008 04:22:28
ANTIVIR3.VDF  : 7.1.0.14       88576 Bytes  29.10.2008 04:22:30
Engineversion : 8.2.0.10  
AEVDF.DLL     : 8.1.0.6       102772 Bytes  15.10.2008 19:33:52
AESCRIPT.DLL  : 8.1.1.9       319867 Bytes  16.10.2008 19:34:44
AESCN.DLL     : 8.1.1.3       123252 Bytes  15.10.2008 19:33:50
AERDL.DLL     : 8.1.1.2       438644 Bytes  20.09.2008 16:00:52
AEPACK.DLL    : 8.1.2.4       369014 Bytes  15.10.2008 19:33:50
AEOFFICE.DLL  : 8.1.0.29      196988 Bytes  24.10.2008 10:44:46
AEHEUR.DLL    : 8.1.0.63     1479032 Bytes  24.10.2008 10:44:46
AEHELP.DLL    : 8.1.1.2       115062 Bytes  15.10.2008 19:33:48
AEGEN.DLL     : 8.1.0.42      319861 Bytes  25.10.2008 10:52:48
AEEMU.DLL     : 8.1.0.9       393588 Bytes  15.10.2008 19:33:46
AECORE.DLL    : 8.1.2.9       172407 Bytes  30.10.2008 04:22:30
AEBB.DLL      : 8.1.0.3        53618 Bytes  15.10.2008 19:33:44
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  17.07.2008 20:40:10
AVPREF.DLL    : 8.0.2.0        38657 Bytes  17.07.2008 20:40:08
AVREP.DLL     : 8.0.0.2        98344 Bytes  01.08.2008 16:24:32
AVREG.DLL     : 8.0.0.1        33537 Bytes  17.07.2008 20:40:08
AVARKT.DLL    : 1.0.0.23      307457 Bytes  17.04.2008 19:57:14
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  17.07.2008 20:40:08
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  17.04.2008 19:57:14
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  17.07.2008 20:40:10
NETNT.DLL     : 8.0.0.1         7937 Bytes  17.04.2008 19:57:14
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  17.07.2008 20:40:08
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  17.07.2008 20:40:08

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, 
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Donnerstag, 30. Oktober 2008  05:31

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLI.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLI.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NclRSSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NclUSBSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ServiceLayer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WindowsSearch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QuickDCF2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosBtMng1.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MultiFrame.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ChkMail.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dot1XCfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LaunchApplication.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ALU.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EEventManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACEngSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sm56hlpr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATKOSD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACMON.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PowerForPhone.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EHMSAS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BatteryLife.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iFrmewrk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLI.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ZCfgSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WCOURIER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccApp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WMIPRVSE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EHTRAY.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HControl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ALG.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DLLHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FBSERVER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WSCNTFY.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'searchindexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MCRDSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPMGR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FBGUARD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehRecvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BGSVCGEN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AluSchedulerSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SCHED.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVGUARD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPOOLSV.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccEvtMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccSetMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EXPLORER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATI2EVXX.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATI2EVXX.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht
Es wurden '80' Prozesse mit '80' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '90' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\hiberfil.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Programme\K-ABC Windows\Kabc.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '496b3ca0.qua' verschoben!
C:\System Volume Information\_restore{B9734724-6B1D-4F89-B5B2-A1554EDE660E}\RP322\A0041778.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49393da3.qua' verschoben!
Beginne mit der Suche in 'D:\' <DATA>


Ende des Suchlaufs: Donnerstag, 30. Oktober 2008  05:53
Benötigte Zeit: 22:06 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   8885 Verzeichnisse wurden überprüft
 315876 Dateien wurden geprüft
      2 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      2 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 315872 Dateien ohne Befall
   7065 Archive wurden durchsucht
      2 Warnungen
      2 Hinweise

Vielen Dank fürs Lesen, ich hoffe, mir kann hier geholfen werden.

cosinus · 02.11.2008, 22:17

Hallo und

Die Dateien, die als schädlich eingestuft worden sind, befinden sich in der Systemwiederherstellung. Entweder ist das ein Fehlalarm, oder Du hattest schon mal einen Befall und die Malwaredateien wurden in einen Wiederherstellungspunkt mitgesichert.

Mach mal einen vollen Durchlauf mit Malwarebytes Antimalware. Dann sehen wir weiter. AntiVir vorher deaktivieren, wenn du mit MBAM scannst.

Arthur Dent · 03.11.2008, 06:57

Hallo root24,

habe MalewareBytes wie auch Spybot drüberlaufen lassen, beides ohne Funde. AdAware hat ein MRU Objekt gefunden.
Kann es sein, dass es keine Funde mehr gibt, weil die betroffenen Programme in der Quarantäne sind? Eines davon brauche ich dringend wieder funktionsfähig, da für die Installation jeweils ein Aktivierungsschlüssel notwendig ist. Seit der Quarantäne-Behandlung des Trojaner kann ich es nicht mehr benutzen.
Auf diesem Rechner bin ich bislang glücklicherweise virenfrei gewesen, lediglich bei Spybot hatte hin und wieder einige Nervgeister, seit ich meinen Rechner mit allerlei Zeugs versorgt habe (von dem ich im Alltag allerdings ziemlich genervt bin, wie z.B. NoSkript), hab ich mir, zumindest wissentlich, nichts mehr eingefangen.

Arthur Dent · 03.11.2008, 16:49

Hallo nochmal,

ich habe jetzt erst einmal die betreffenden Meldungen an AntiVir mit der Bitte um Überprüfung (Fehlalarm?) geschickt. Mal sehen, wann ich von denen höre.

cosinus · 03.11.2008, 21:37

Ja, ein Fehlalarm scheint wahrscheinlich zu sein. Nimm die Datei mal aus der Quarantäne heraus und in die Ausnahmeliste von AntiVir. Werte sie dann mal bei Virustotoal.com aus und poste das Ergebnis hier.

Arthur Dent · 04.11.2008, 20:06

Hallo root24

Hier das Ergebnis vom ersten Fund (Kabc.exe)

Code:

ATTFilter

Antivirus	Version	letzte aktualisierung	Ergebnis
AhnLab-V3	2008.11.4.3	2008.11.04	-
AntiVir	7.9.0.10	2008.11.04	TR/Crypt.XPACK.Gen
Authentium	5.1.0.4	2008.11.04	-
Avast	4.8.1248.0	2008.11.04	-
AVG	8.0.0.161	2008.11.04	-
BitDefender	7.2	2008.11.04	-
CAT-QuickHeal	9.50	2008.11.04	-
ClamAV	0.94.1	2008.11.04	-
DrWeb	4.44.0.09170	2008.11.04	-
eSafe	7.0.17.0	2008.11.04	-
eTrust-Vet	31.6.6188	2008.11.03	-
Ewido	4.0	2008.11.04	-
F-Prot	4.4.4.56	2008.11.04	-
F-Secure	8.0.14332.0	2008.11.04	Suspicious:W32/Alician!Gemini
Fortinet	3.117.0.0	2008.11.04	-
GData	19	2008.11.04	-
Ikarus	T3.1.1.45.0	2008.11.04	-
K7AntiVirus	7.10.516	2008.11.04	-
Kaspersky	7.0.0.125	2008.11.04	-
McAfee	5423	2008.11.04	-
Microsoft	1.4005	2008.11.04	-
NOD32	3583	2008.11.04	-
Norman	5.80.02	2008.11.04	-
Panda	9.0.0.4	2008.11.04	-
PCTools	4.4.2.0	2008.11.04	-
Prevx1	V2	2008.11.04	-
Rising	21.02.12.00	2008.11.04	-
SecureWeb-Gateway	6.7.6	2008.11.04	Trojan.Crypt.XPACK.Gen
Sophos	4.35.0	2008.11.04	-
Sunbelt	3.1.1777.2	2008.11.03	-
Symantec	10	2008.11.04	-
TheHacker	6.3.1.1.138	2008.11.04	-
TrendMicro	8.700.0.1004	2008.11.04	-
VBA32	3.12.8.9	2008.11.03	-
ViRobot	2008.11.4.1451	2008.11.04	-
VirusBuster	4.5.11.0	2008.11.04	-

weitere Informationen

File size: 5438464 bytes
MD5...: 2aa51620eef4d008ba7575e384b1b54b
SHA1..: 5235485b62fb7d75c7b937340d4ffc3c856c9544
SHA256: d6a9ad2a92d3ef2797606bc99979eff396e9136a2485249b864577772159d16a
SHA512: ce8640ccecf1c5df1ac1a8fb48aed8c25395b828d891b6252a46d34108a023e1db0bb49817e451d542ed8c7bb6e99b13a28b126d042ca74273165a13394a4add
PEiD..: -
TrID..: File type identificationInstallShield setup (60.9%)DOS Executable Borland C++ (18.4%)Win32 Executable Generic (12.0%)Win16/32 Executable Delphi generic (2.9%)Generic Win/DOS Executable (2.8%)
PEInfo: PE Structure information( base data )entrypointaddress.: 0x921000timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)machinetype.......: 0x14c (I386)( 11 sections )name viradd virsiz rawdsiz ntrpy md5CODE 0x1000 0x275b9c 0x275c00 6.53 5eef3ac6d48e1fd2a9b9fe02c8c770a5DATA 0x277000 0x4cac 0x4e00 5.12 b3347b2aed55ae47e1c9c6b65830feacBSS 0x27c000 0x1ff9 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e.idata 0x27e000 0x2d94 0x2e00 5.07 0bbde3a120f78623ea95384d5c75f546.tls 0x281000 0x60 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e.rdata 0x282000 0x18 0x200 0.21 c6c617f9ad7cc138e30321a167b567a9.reloc 0x283000 0x2c6a0 0x2c800 6.76 fc3eed23146264725bb6dce76f2ec90c.rsrc 0x2b0000 0x270e00 0x270e00 4.90 1d07c0b099961e0ea32a5344f19f4418CODE 0x521000 0x4000 0x3e00 4.54 f76ce4cecd16a4b5a82bb5fe6694b01cDATA 0x525000 0x11000 0x10600 2.08 b7336c178a4dd69b323e128e51ee146a.idata 0x536000 0x1000 0x400 4.57 32ae47095259d24a152c2eda4f5cd246( 3 imports ) > KERNEL32.dll: lstrcpy, GetVersion, lstrlen, CreateProcessA, ExitProcess, FindClose, FindFirstFileA, GetWindowsDirectoryA, GetFileSize, GetLastError, GetModuleFileNameA, GetModuleHandleA, GetProcAddress, GetShortPathNameA, GetTempPathA, GetTickCount, FreeLibrary, CloseHandle, GlobalAlloc, GlobalFree, LoadLibraryA, LoadLibraryExA, OpenFile, ReadFile, TerminateProcess, VirtualProtect, WaitForSingleObject, WriteFile, _lclose, _lcreat, _lopen, _lwrite, lstrcat> USER32.dll: wsprintfA, MessageBoxA> ADVAPI32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey( 0 exports ) 
packers (Kaspersky): PE_Patch

Für die zweite Datei gab es folgende Meldung:

Code:

ATTFilter

Die Datei wurde bereits analysiert:
MD5: 	2aa51620eef4d008ba7575e384b1b54b
First received: 	2008.11.04 19:40:53 (CET)
Datum 	2008.11.04 19:40:42 (CET) [<1D]
Ergebnisse 	3/36
Permalink: 	analisis/226e45d3a591e54bbc209c796431ec31

In der System Volume war "RP322" auch aus dem K-ABC Programm.

Ich werde jetzt erst mal wieder die beiden Sachen in die Quarantäne schicken, VirusTotal hat ja noch ein zusätzliches interessantes Exemplar gefunden. Ich hoffe, mir bleibt eine Neuinstallation erspart und ich kann bald wieder das Programm nutzen. Vielen Dank erstmal.

cosinus · 04.11.2008, 20:17

Wieso in Qurantäne schicken?

Ich dachte das Programm war die gnaze Zeit nie angemeckert worden und nun soll es ein Schädling sein? Das stinkt doch schon nach nem Fehlalarm! Was sagt denn AntiVir dazu?

Arthur Dent · 04.11.2008, 20:25

Hallo root24

doch, das Programm (wenn Du K-ABC meinst) ist angemeldet und auch immer wieder in Benutzung. Beim letzten Scan mit AntiVir hat es die o.a. Funde gemeldet und mich gefragt, was es damit machen soll. Also hab ich die beiden Dateien, in denen sich der Trojaner befinden soll, in die Quarantäne geschickt. Dadurch hat sich K-ABC meiner Benutzung entzogen.
Für mich stellt sich jetzt die Frage, wie soll ich mit dem beiden "Trojanern" umgehen, zumal ja F-Secure auch noch W32/Alician!.... gefunden hat. Und da ich viel Online erledige, ist die Sache mit den Trojanern ja auch nicht so ganz uninteressant.

Arthur Dent · 04.11.2008, 20:31

Wer lesen kann,ist klar im Vorteil!

Ja angemeckert, nicht angemeldet. Jetzt les ich es auch. Das Programm ist tatsächlich nie angemeckert worden. Nachdem ich das ganze nochmal durchgelesen habe, bin ich mir auch nicht mehr sicher, ob ich AntiVir vor dem Scan mit MalewareBytes deaktiviert habe.

cosinus · 04.11.2008, 20:35

Ich glaube wir reden aneinander vorbei.

Der Fehlalarm bezieht sich ja auf das Programm, was Du nicht mehr nutzen kannst. Da ist kein Trojaner drin, sondern Dein Virenscanner erkennt nur irrtümlicherweise durch fehlerhafte Signaturen einen darin. Das heißt aber nicht, dass da auch etwas ist.

Wer Virenscanner benutzt, sollte sich dessen bewusst sein:

Code:

ATTFilter

Virenscanner melden Schädlinge wo gar keine sind! 
Virenscanner übersehen v.a. neue, d.h. noch unbekannte Schädlinge!

Ich erwähnte auch, dass Du die Datei aus der Quarantäne holen sollst und in die Ausnahmeliste setzen solltest. Solange bis es neue Signaturen gibt, sodass Dein Programm nicht mehr als Schädling eingestuft wird.

Und ja, auch die anderen Scanner scheinen da drin einen Fehlalarm zu sehen...

Arthur Dent · 04.11.2008, 20:49

o.K.,

damit ich es nicht wieder falsch verstehe: ich hole also die Dateien wieder aus der Quarantäne raus und setze sie wieder auf die Ausnahmeliste. Als ich dies für den Scan auf Virustotal gemacht habe, wurde ich ständig von AntiVir angepiept, es hätte einen Virus gefunden, was ich mit "Ignorieren" immer weggeklickt habe.
Nachdem ich die Programme herausgeholt habe und erneut einen Virenscan gemacht habe, habe ich jetzt die dritte Meldung, wieder von System Volume, zum Trojaner erhalten.

Zum nichtbenutzbaren Programm: Ich hatte das letzte Mal K-ABC im letzten Monat ohne Probleme nutzen können, nur jetzt ist es nicht mehr ausführbar (Deinstallieren, Hilfe Schlüsselprogramm erscheinen noch unter Programme).

Wenn Computer sei einfach wären wie Toaster, wäre mein Leben erheblich entspannter!

Arthur Dent · 06.11.2008, 18:51

Hallo root24,

ich habe jetzt sowohl beim Scan als auch beim Guard die entsprechenden Dateien in den Ausnahmeordner gepackt und dadurch Ruhe. Wie bekomme ich das Programm K-abc.exe wieder dahin, dass ich K-ABC vom Desktop aus starten kann (vom System Volume kann ich es starten). Und was mich immer noch stutzig macht ist, dass ich vor einem Monat noch mit dem Programm arbeiten konnte und es jetzt so rumzickt (bzw. AntiVir). Du meintest, ich sollte auf neue Signaturen warten. AntiVir wird bei mir täglich aktualisiert, müsste da nicht schon längst was gekommen sein? Von AntiVir selbst hab ich leider noch keine Rückmeldung erhalten, ob es sich um einen Fehlalarm handelt.

cosinus · 06.11.2008, 19:12

Zitat:

Zitat von Arthur Dent

Wie bekomme ich das Programm K-abc.exe wieder dahin, dass ich K-ABC vom Desktop aus starten kann (vom System Volume kann ich es starten).

Dazu müsste die kabc.exe erstmal wieder im ursprünglichen Programmpfad sein, sofern die aus der Quarantäne nicht da wieder reingekommen ist. Wenn sie da ist, musst Du dann einfach nur noch ne Verknüpfung zu dieser Exe auf dem Desktop erstellen.

Zitat:

Und was mich immer noch stutzig macht ist, dass ich vor einem Monat noch mit dem Programm arbeiten konnte und es jetzt so rumzickt (bzw. AntiVir).

Hatte ich das nicht erklärt?

Naja, jedenfalls musst Du da ein wenig verstehen, wie ein Virenscanner funktioniert. Einfach gesagt hat ein Virenscanner eine Signaturdatenbank, wenn er eine Datei untersucht, vergleicht er diese Datei mit seinen Einträgen in der Datenbank. Wird eine Übereinstimmung gefunden, schlägt er Alarm und bringt entsprechende Hinweise.
Diese Übereinstimmung bedeutet aber nicht, dass dort zu 100% Sicherheit auch ein Schädling ist, denn sie kann auch rein zufällig sein.

=> Mehr dazu

Zitat:

Du meintest, ich sollte auf neue Signaturen warten. AntiVir wird bei mir täglich aktualisiert, müsste da nicht schon längst was gekommen sein? Von AntiVir selbst hab ich leider noch keine Rückmeldung erhalten, ob es sich um einen Fehlalarm handelt.

Tja, entweder abwarten, die nochmal anschreiben oder im AntiVir-Supportforum versuchen.

Arthur Dent · 06.11.2008, 19:34

Hallo root24

als Andi Ahnungslos vertraue ich jetzt mal darauf, dass es sich um einen Fehlalarm handelt und hoffe, dass nicht irgendwann das BKA vor der Tür steht, vielleicht gleicht ja auch jemand meinen Dispo aus.

Ansonsten vertraue ich meine Paranoia.
Ich frage jetzt nicht, wie mann durch HijackThis erkennt, ob es sich um einen Fehlalarm handelt

Vielen Dank nochmal!

cosinus · 06.11.2008, 19:45

Das kannst Du im HijackThis nicht wirklich erkennen. Ich fasse aber nur zusammen, z.B. wären da:

- Hijackthis-Logfile sauber
- kabc.exe wurde von Virustotal nur von 2 oder 3 Scannern moniert
- die Logfiles der anderen Tools ebenfalls sauber
- PC ohne auffälligem Verhalten
- das Programm wurde schon lange benutzt, auf einmal soll es ein Schädling sein

Wenn Du diese Fakten dir mal ansiehst, dann ist tatsächliche Malware in dieser Datei sehr sehr unwahrscheinlich.
Wenn Du aber Paranoia hast, dann frag beim Hersteller des Programms nach. Am besten Du schickst mit dieser Anfrage gleich die Infos mit, die Virustotal ausgespuckt hat.

03.11.2008, 21:37	#5
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	AntiVir findet TR/Crypt.XPAC.Gen Ja, ein Fehlalarm scheint wahrscheinlich zu sein. Nimm die Datei mal aus der Quarantäne heraus und in die Ausnahmeliste von AntiVir. Werte sie dann mal bei Virustotoal.com aus und poste das Ergebnis hier. __________________ Logfiles bitte immer in CODE-Tags posten

04.11.2008, 20:17	#7
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	AntiVir findet TR/Crypt.XPAC.Gen Wieso in Qurantäne schicken? Ich dachte das Programm war die gnaze Zeit nie angemeckert worden und nun soll es ein Schädling sein? Das stinkt doch schon nach nem Fehlalarm! Was sagt denn AntiVir dazu? __________________ Logfiles bitte immer in CODE-Tags posten

AntiVir findet TR/Crypt.XPAC.Gen

Plagegeister aller Art und deren Bekämpfung: AntiVir findet TR/Crypt.XPAC.Gen