Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
TR/Crypt.XPACK.Gen TROJANER - "Rest"problem

TR/Crypt.XPACK.Gen TROJANER - "Rest"problem


Plagegeister aller Art und deren Bekämpfung: TR/Crypt.XPACK.Gen TROJANER - "Rest"problem

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 25.12.2008, 21:46   #1
sahnecracker
 
TR/Crypt.XPACK.Gen TROJANER - "Rest"problem - Standard

TR/Crypt.XPACK.Gen TROJANER - "Rest"problem


Hallo,

habe mir den genannten Trojaner eingefangen. Habe durch Suche über Google die Info bekommen HijackThis zu verwenden. Habe dann das Logfile auf der Hijackthis-Seite hochgeladen. Es wurden zwei Einträge rot gekennzeichnet. Diese habe ich dann duch Empfehlung von HijackThis mit Lib-....irgendwas (weiß leider nicht mehr den namen wegbekommen. Als o auf den Hijackthis-Site bekomme ich keine Einträge des Logfiles mehr rot gekennzeichnet. Spybot bringt auch keine Meldung mehr. Der Rechner fährt hoch, Internet funktioniert. ALLERDINGS, ich habe noch als Desktopbild einen schwarzen Hintergrund mit der Warnung (Anhang).
Gehe ich auf die Desktopeinstellungen kann ich das Hintergrundbild nicht ändern. Habe keine Rechte darauf (ausgegraut). Kann ebenso nicht das Design ändern. Systemwiederherstellung funktioniert nicht, kann keine anderen tage auswählen.
Also ich habe irgendwie das gefühl, der trojaner ist zwar "weg" aber gewisse Änderungen hat er hinterlassen.
Könnt ihr mir helfen bzw. einen Rat geben?

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:19:53, on 25.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\PPControl.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\PestPatrol\PPCL.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre1.5.0_06\bin\jucheck.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar5.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [PestPatrolCL] C:\Programme\PestPatrol\PPCL.exe c:\
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: ImgUploader - http://www.pixum.de/int/EasyUpload/ImgUploader.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1230199830703
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E37EA82-B98B-4F7B-9F43-DEB0117E280D}: NameServer = 192.168.2.1,194.25.2.129
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V7 (AdobeActiveFileMonitor7.0) - Adobe Systems Incorporated - C:\Programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Programme\Roxio\Digital Home 9\RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Programme\Roxio\Digital Home 9\RoxioUpnpService9.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 10645 bytes

Gruß
Robert
Miniaturansicht angehängter Grafiken
TR/Crypt.XPACK.Gen TROJANER - "Rest"problem-meldung.jpg  
Geändert von sahnecracker (25.12.2008 um 22:01 Uhr)

Alt 25.12.2008, 23:37   #2
sahnecracker
 
TR/Crypt.XPACK.Gen TROJANER - "Rest"problem - Standard

TR/Crypt.XPACK.Gen TROJANER - "Rest"problem


Antivir meldet jetzt:

TR/Vundo.72704Y3 in windos\system32\swhersm.dll

TR/Vundo.D.3 in windos\system32\iifebBTN.dll


Lassen sich nicht löschen oder in Quarantäne schicken
__________________
Alt 26.12.2008, 01:18   #3
sahnecracker
 
TR/Crypt.XPACK.Gen TROJANER - "Rest"problem - Standard

TR/Crypt.XPACK.Gen TROJANER - "Rest"problem


Hat niemand einen Rat für mich?
__________________
Alt 26.12.2008, 11:17   #4
Aggro Berlin
 
TR/Crypt.XPACK.Gen TROJANER - "Rest"problem - Standard

TR/Crypt.XPACK.Gen TROJANER - "Rest"problem


Hallo,

werte bitte diese Datei bei VirusTotal - Kostenloser online Viren- und Malwarescanner. Anschließend alles reinkopieren was auf der Seite zu sehen ist.
Code:
ATTFilter
C:\WINDOWS\system32\bgsvcgen.exe
C:\WINDOWS\system32\ctfmon.exe

führe bitte einen Scan mit Malwarebytes aus und poste anschließend den entstandenen Log,

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Edit: Poste danach nochmal einen HijackThis Log.

LG
__________________
Warum stürzt Windows 95 so oft ab? Na klar - weil das Verfallsdatum abgelaufen ist!

Alt 26.12.2008, 12:54   #5
sahnecracker
 
TR/Crypt.XPACK.Gen TROJANER - "Rest"problem - Standard

TR/Crypt.XPACK.Gen TROJANER - "Rest"problem


Hallo Aggro Berrlin,

danke für den Rat. Werd ich machen und mich dann wieder melden!
Noch ne Frage, alles im abgesicherten Modus?


Alt 26.12.2008, 22:51   #6
sahnecracker
 
TR/Crypt.XPACK.Gen TROJANER - "Rest"problem - Standard

TR/Crypt.XPACK.Gen TROJANER - "Rest"problem


So, Teil 1

Code:
ATTFilter
 Datei bgsvcgen.exe empfangen 2008.12.26 22:41:46 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/39 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.0.0.73	2008.12.26	-
AhnLab-V3	2008.12.25.0	2008.12.26	-
AntiVir	7.9.0.45	2008.12.26	-
Authentium	5.1.0.4	2008.12.26	-
Avast	4.8.1281.0	2008.12.26	-
AVG	8.0.0.199	2008.12.26	-
BitDefender	7.2	2008.12.26	-
CAT-QuickHeal	10.00	2008.12.26	-
ClamAV	0.94.1	2008.12.26	-
Comodo	819	2008.12.26	-
DrWeb	4.44.0.09170	2008.12.26	-
eSafe	7.0.17.0	2008.12.24	-
eTrust-Vet	31.6.6276	2008.12.24	-
Ewido	4.0	2008.12.26	-
F-Prot	4.4.4.56	2008.12.24	-
F-Secure	8.0.14332.0	2008.12.26	-
Fortinet	3.117.0.0	2008.12.26	-
GData	19	2008.12.26	-
Ikarus	T3.1.1.45.0	2008.12.26	-
K7AntiVirus	7.10.567	2008.12.26	-
Kaspersky	7.0.0.125	2008.12.26	-
McAfee	5475	2008.12.26	-
McAfee+Artemis	5474	2008.12.24	-
Microsoft	1.4205	2008.12.26	-
NOD32	3718	2008.12.26	-
Norman	5.80.02	2008.12.26	-
Panda	9.0.0.4	2008.12.26	-
PCTools	4.4.2.0	2008.12.26	-
Prevx1	V2	2008.12.26	-
Rising	21.09.42.00	2008.12.26	-
SecureWeb-Gateway	6.7.6	2008.12.26	-
Sophos	4.37.0	2008.12.26	-
Sunbelt	3.2.1809.2	2008.12.22	-
Symantec	10	2008.12.26	-
TheHacker	6.3.1.4.200	2008.12.26	-
TrendMicro	8.700.0.1004	2008.12.26	-
VBA32	3.12.8.10	2008.12.26	-
ViRobot	2008.12.26.1536	2008.12.26	-
VirusBuster	4.5.11.0	2008.12.26	-
weitere Informationen
File size: 145504 bytes
MD5...: acc9c8c560c567fad6f79c977ab2ea09
SHA1..: 02f2cf9d63038a46243837e723224b00668aa55e
SHA256: 24ff3254680e46b5f3822d26e9aa5020b4b9809ac7b4ff32d95b7d4ead808ad5
SHA512: f1173e2ca0230d1a11119802e83b466e785f3fdcf6d5f5f8a7a184fbcd0d854e
1a6310b82d1a1e83de2ce3adddf16484bdf99726ac1cc655385dd1cb5037c639
ssdeep: 3072:OKVJPWUNwdD/m1VA6Sb/qJRRnZWJg5v3GQpVHBr:ON5qSb/qJRvWJCPr
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40bca7
timedatestamp.....: 0x46720c40 (Fri Jun 15 03:49:20 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x16d87 0x17000 6.58 de19d5b616a5ae1c7af364e0900a18e0
.rdata 0x18000 0x5a44 0x6000 4.82 83bfb60396f7755b0341deac2d2dcdef
.data 0x1e000 0x3904 0x2000 1.86 6c31ac7478f88206ee4e6ed42e2e2571
.rsrc 0x22000 0x13b4 0x2000 4.73 38e1c5d59d5a4fe85b3cbc219737da77

( 6 imports )
> KERNEL32.dll: GetSystemDefaultLangID, GetModuleFileNameW, ReleaseSemaphore, FreeLibrary, MultiByteToWideChar, LoadLibraryExW, GetModuleHandleW, Sleep, MapViewOfFile, OpenFileMappingW, InterlockedIncrement, InterlockedDecrement, UnregisterWaitEx, SetEvent, SetLastError, RegisterWaitForSingleObject, OpenEventW, WaitForMultipleObjects, OutputDebugStringW, PostQueuedCompletionStatus, GetQueuedCompletionStatus, CreateSemaphoreW, lstrcpynW, GlobalFree, GlobalAlloc, WideCharToMultiByte, DeviceIoControl, CreateFileW, lstrcatW, GetFileAttributesW, GetTempPathW, SetFilePointer, SetEnvironmentVariableA, CompareStringW, CompareStringA, CreateFileA, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, FlushFileBuffers, LCMapStringW, lstrcmpiW, FindResourceExW, FindResourceW, LoadResource, LockResource, SizeofResource, DeleteCriticalSection, InitializeCriticalSection, CreateEventW, WriteFile, WaitForSingleObject, ResetEvent, ReadFile, RaiseException, CreateNamedPipeW, GetLastError, GetCurrentThreadId, CreateIoCompletionPort, ConnectNamedPipe, EnterCriticalSection, LeaveCriticalSection, lstrlenW, UnmapViewOfFile, CloseHandle, GetCommandLineW, LCMapStringA, GetStringTypeW, GetStringTypeA, GetConsoleMode, GetConsoleCP, GetOEMCP, GetCPInfo, LoadLibraryA, GetCurrentProcessId, InterlockedExchange, GetACP, GetLocaleInfoA, GetThreadLocale, GetVersionExA, HeapDestroy, HeapAlloc, HeapFree, HeapReAlloc, HeapSize, GetProcessHeap, RtlUnwind, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, ExitThread, CreateThread, GetSystemTimeAsFileTime, GetStartupInfoW, VirtualFree, VirtualAlloc, HeapCreate, GetProcAddress, GetModuleHandleA, ExitProcess, GetStdHandle, GetModuleFileNameA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, GetTimeZoneInformation, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, GetCommandLineA, SetHandleCount, GetFileType, GetStartupInfoA, QueryPerformanceCounter, GetTickCount
> USER32.dll: wsprintfW, LoadStringW, UnregisterClassA, MessageBoxW, TranslateMessage, PostThreadMessageW, CharUpperW, CharNextW, GetMessageW, DispatchMessageW
> ADVAPI32.dll: StartServiceCtrlDispatcherW, RegisterServiceCtrlHandlerW, RegEnumKeyExW, CreateServiceW, ChangeServiceConfig2W, RegQueryInfoKeyW, RegSetValueExW, RegQueryValueExW, RegOpenKeyExW, RegCreateKeyExW, RegCloseKey, RegDeleteValueW, RegDeleteKeyW, RegisterEventSourceW, ReportEventW, DeregisterEventSource, ControlService, DeleteService, OpenSCManagerW, OpenServiceW, CloseServiceHandle, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, SetServiceStatus
> ole32.dll: CoTaskMemRealloc, CoCreateInstance, CoTaskMemFree, CoTaskMemAlloc
> OLEAUT32.dll: -
> SETUPAPI.dll: SetupDiChangeState, SetupDiGetClassDevsW, SetupDiDestroyDeviceInfoList, SetupDiEnumDeviceInfo, SetupDiGetDeviceRegistryPropertyW, SetupDiClassGuidsFromNameW, SetupDiDeleteDeviceInfo, SetupDiSetClassInstallParamsW

( 0 exports )
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=acc9c8c560c567fad6f79c977ab2ea09' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=acc9c8c560c567fad6f79c977ab2ea09</a>
Code:
ATTFilter
Datei ctfmon.exe empfangen 2008.12.26 22:44:35 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/39 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.0.0.73	2008.12.26	-
AhnLab-V3	2008.12.25.0	2008.12.26	-
AntiVir	7.9.0.45	2008.12.26	-
Authentium	5.1.0.4	2008.12.26	-
Avast	4.8.1281.0	2008.12.26	-
AVG	8.0.0.199	2008.12.26	-
BitDefender	7.2	2008.12.26	-
CAT-QuickHeal	10.00	2008.12.26	-
ClamAV	0.94.1	2008.12.26	-
Comodo	819	2008.12.26	-
DrWeb	4.44.0.09170	2008.12.26	-
eSafe	7.0.17.0	2008.12.24	-
eTrust-Vet	31.6.6276	2008.12.24	-
Ewido	4.0	2008.12.26	-
F-Prot	4.4.4.56	2008.12.26	-
F-Secure	8.0.14332.0	2008.12.26	-
Fortinet	3.117.0.0	2008.12.26	-
GData	19	2008.12.26	-
Ikarus	T3.1.1.45.0	2008.12.26	-
K7AntiVirus	7.10.567	2008.12.26	-
Kaspersky	7.0.0.125	2008.12.26	-
McAfee	5475	2008.12.26	-
McAfee+Artemis	5475	2008.12.26	-
Microsoft	1.4205	2008.12.26	-
NOD32	3718	2008.12.26	-
Norman	5.80.02	2008.12.26	-
Panda	9.0.0.4	2008.12.26	-
PCTools	4.4.2.0	2008.12.26	-
Prevx1	V2	2008.12.26	-
Rising	21.09.42.00	2008.12.26	-
SecureWeb-Gateway	6.7.6	2008.12.26	-
Sophos	4.37.0	2008.12.26	-
Sunbelt	3.2.1809.2	2008.12.22	-
Symantec	10	2008.12.26	-
TheHacker	6.3.1.4.200	2008.12.26	-
TrendMicro	8.700.0.1004	2008.12.26	-
VBA32	3.12.8.10	2008.12.26	-
ViRobot	2008.12.26.1536	2008.12.26	-
VirusBuster	4.5.11.0	2008.12.26	-
weitere Informationen
File size: 15360 bytes
MD5...: 01b4e6e990b6c5ea8856d96c7fd044b2
SHA1..: 40ff417a5e7043723911131c29a3914a9c478cde
SHA256: 2266296fd3c8e0dfa657f21406ee4e494477870dfaf7c65bebcb6fba8cadc7c6
SHA512: 9253e82f29ece8248348e77fad623a9c471d7cdf92fb299ae3e20b70e4c6e66d
9c6a8c2a07dfcad5e94466deb498582d691a9fcefd20852eda3373858d0a01d7
ssdeep: 192:WTzPGoc4F/MNhlYWpjZ+o7NpO7MIl8SVPTI7mW7rOi7oLG9lMnjmxAITljrU
FE3m:AO1Eo7NY8MPTIaW7/lumxlJlWDlgW
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x402e35
timedatestamp.....: 0x48025356 (Sun Apr 13 18:39:18 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2ab8 0x2c00 6.75 c3924778aa62939cfbe89b1afeddb71b
.data 0x4000 0x210 0x200 1.07 bd8c5cd346a9f53dc0dbc69260ab2240
.rsrc 0x5000 0x870 0xa00 3.85 421ca88053c2138f828a915f2a95d754

( 6 imports )
> msvcrt.dll: _controlfp, _except_handler3, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _cexit, _XcptFilter, _exit, _c_exit
> ADVAPI32.dll: RegDeleteValueA, RegOpenKeyExA, RegCloseKey, RegSetValueExA, RegCreateKeyA, RegCreateKeyExA
> KERNEL32.dll: lstrcpynA, lstrlenA, GetSystemDirectoryA, GetSystemWindowsDirectoryA, GetVersionExA, GetACP, InitializeCriticalSectionAndSpinCount, DeleteCriticalSection, LocalFree, CloseHandle, ResetEvent, OpenEventA, CreateProcessA, lstrcatA, GetSystemInfo, lstrcmpiA, FreeLibrary, LoadLibraryA, CreateEventA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, GetModuleHandleA, GetStartupInfoA, LocalAlloc, GetProcAddress
> USER32.dll: EnumWindows, GetClassNameA, FindWindowA, PostMessageA, SetTimer, KillTimer, MsgWaitForMultipleObjects, PeekMessageA, TranslateMessage, DispatchMessageA, GetMessageA, SetWindowPos, LoadCursorA, RegisterClassExA, DefWindowProcA, PostQuitMessage, CreateWindowExA, GetSystemMetrics
> MSCTF.dll: TF_InitSystem, TF_GetGlobalCompartment, TF_InvalidAssemblyListCacheIfExist, TF_InvalidAssemblyListCache, TF_PostAllThreadMsg, TF_CreateCicLoadMutex, TF_UninitSystem
> MSUTB.dll: ClosePopupTipbar, GetPopupTipbar

( 0 exports )
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=01b4e6e990b6c5ea8856d96c7fd044b2' target='_blank'>http://www.threatexpert.com/report.aspx?md5=01b4e6e990b6c5ea8856d96c7fd044b2</a>
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=01b4e6e990b6c5ea8856d96c7fd044b2' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=01b4e6e990b6c5ea8856d96c7fd044b2</a>

Antwort

Themen zu TR/Crypt.XPACK.Gen TROJANER - "Rest"problem
adobe, antivir, ausgegraut, avira, bonjour, canon, computer, control center, firefox, google, hijack, hijackthis, hkus\s-1-5-18, home, internet, internet explorer, logfile, monitor, mozilla, photoshop, problem, rundll, senden, software, tr/crypt.xpack.ge, tr/crypt.xpack.gen, trojaner, uleadburninghelper, warnung, windows, windows xp, windows xp sp3, xp sp3


« Trojaner TR/Dldr.FraudLoa.NC | DIEmWIN.exe beim Herunterfahren des PC »


Ähnliche Themen: TR/Crypt.XPACK.Gen TROJANER - "Rest"problem


  1. Avira meldet TR/Crypt.XPACK.Gen" in Datei "mjcrosoft-windows-hal-events.exe"
    Plagegeister aller Art und deren Bekämpfung - 09.04.2014 (13)
  2. Windows 8: "TR/Crypt.XPACK.Gen2" / "ADWARE/Amonetize.U.3"
    Plagegeister aller Art und deren Bekämpfung - 30.09.2013 (9)
  3. PC nach Befall durch "TR/Crypt.XPACK.Gen" und "TR/Crypt.ZPACK.Gen2" extrem langsam
    Plagegeister aller Art und deren Bekämpfung - 29.11.2011 (7)
  4. "CorruptBootConfigData" Nach Virusbefall ("TR/Crypt.XPack.Gen")
    Plagegeister aller Art und deren Bekämpfung - 08.10.2011 (1)
  5. Problem mit Trojaner "TR/Crypt.XPACK.Gen"
    Plagegeister aller Art und deren Bekämpfung - 29.03.2011 (9)
  6. auch bei mir ist der Trojaner "tr/crypt.xpack.gen"
    Plagegeister aller Art und deren Bekämpfung - 26.03.2011 (5)
  7. Was ist tr "crypt.xpack.gen2" und "TR/Banker.Multi.TB"?
    Plagegeister aller Art und deren Bekämpfung - 09.01.2011 (7)
  8. Was ist tr "crypt.xpack.gen2" und "TR/Banker.Multi.TB"?
    Alles rund um Windows - 08.01.2011 (1)
  9. Trojaner Spy.31.232.57, Crypt.XPACK.Gen, ....Gen2, ....Gen3; BDS/Papras.RR >> Quarantäne "voll"
    Plagegeister aller Art und deren Bekämpfung - 29.09.2010 (3)
  10. Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh"
    Plagegeister aller Art und deren Bekämpfung - 16.08.2010 (43)
  11. Problem mit "TR/TDss.AE.22" und "TR/Crypt.XPACK.Gen"
    Mülltonne - 16.12.2008 (0)
  12. Problem mit "TR/Crypt.XPACK.Gen [trojan]"
    Log-Analyse und Auswertung - 05.12.2008 (4)
  13. Trojaner "TR/Crypt.XPACK.Gen"
    Plagegeister aller Art und deren Bekämpfung - 25.10.2008 (4)
  14. AntiVir meldet: Trojaner "TR/Crypt.XPACK.Gen"
    Log-Analyse und Auswertung - 05.06.2008 (4)
  15. Trojaner "TR/Crypt.XPACK.Gen" ,Log zur Auswertung
    Mülltonne - 20.05.2008 (1)
  16. Trojaner "Crypt.XPACK.Gen" -Software zum Entfernen?
    Antiviren-, Firewall- und andere Schutzprogramme - 19.05.2008 (1)
  17. Hilfe Trojaner "TR/Crypt.XPACK.Gen"
    Log-Analyse und Auswertung - 15.04.2008 (2)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema TR/Crypt.XPACK.Gen TROJANER - "Rest"problem - Hallo, habe mir den genannten Trojaner eingefangen. Habe durch Suche über Google die Info bekommen HijackThis zu verwenden. Habe dann das Logfile auf der Hijackthis-Seite hochgeladen. Es wurden zwei Einträge - TR/Crypt.XPACK.Gen TROJANER - "Rest"problem...
Archiv
Du betrachtest: TR/Crypt.XPACK.Gen TROJANER - "Rest"problem auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129