| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Avira findet TR/Crypt.XPACK.GenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
21.03.2009, 00:51
| #1 |
 |  Avira findet TR/Crypt.XPACK.Gen Hallo! Avira hat bei uns gestern den TR/Crypt.XPACK.Gen gefunden. Avira AntiVir Personal Erstellungsdatum der Reportdatei: Freitag, 20. März 2009 20:28 Es wird nach 1308566 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 3) [5.1.2600] Boot Modus: Normal gebootet Versionsinformationen: BUILD.DAT : 8.2.0.347 16934 Bytes 16.03.2009 14:45:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 26.11.2008 12:39:15 AVSCAN.DLL : 8.1.4.0 48897 Bytes 19.07.2008 08:38:18 LUKE.DLL : 8.1.4.5 164097 Bytes 19.07.2008 08:38:19 LUKERES.DLL : 8.1.4.0 12545 Bytes 19.07.2008 08:38:19 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 17:05:11 ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 12:52:25 ANTIVIR2.VDF : 7.1.2.152 749568 Bytes 11.03.2009 19:53:49 ANTIVIR3.VDF : 7.1.2.192 239616 Bytes 19.03.2009 19:31:53 Engineversion : 8.2.0.120 AEVDF.DLL : 8.1.1.0 106868 Bytes 31.01.2009 13:10:25 AESCRIPT.DLL : 8.1.1.67 364923 Bytes 19.03.2009 19:31:59 AESCN.DLL : 8.1.1.8 127346 Bytes 06.03.2009 20:12:25 AERDL.DLL : 8.1.1.3 438645 Bytes 06.11.2008 18:20:37 AEPACK.DLL : 8.1.3.10 397686 Bytes 04.03.2009 20:10:46 AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26.02.2009 22:44:18 AEHEUR.DLL : 8.1.0.107 1663352 Bytes 19.03.2009 19:31:58 AEHELP.DLL : 8.1.2.2 119158 Bytes 26.02.2009 22:44:14 AEGEN.DLL : 8.1.1.30 336245 Bytes 19.03.2009 19:31:54 AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 17:35:55 AECORE.DLL : 8.1.6.6 176501 Bytes 17.02.2009 20:25:09 AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 17:35:53 AVWINLL.DLL : 1.0.0.12 15105 Bytes 19.07.2008 08:38:18 AVPREF.DLL : 8.0.2.0 38657 Bytes 19.07.2008 08:38:18 AVREP.DLL : 8.0.0.2 98344 Bytes 02.08.2008 12:07:25 AVREG.DLL : 8.0.0.1 33537 Bytes 19.07.2008 08:38:18 AVARKT.DLL : 1.0.0.23 307457 Bytes 16.04.2008 21:24:52 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 19.07.2008 08:38:18 SQLITE3.DLL : 3.3.17.1 339968 Bytes 16.04.2008 21:24:54 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 19.07.2008 08:38:19 NETNT.DLL : 8.0.0.1 7937 Bytes 16.04.2008 21:24:53 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 19.07.2008 08:38:15 RCTEXT.DLL : 8.0.52.0 86273 Bytes 19.07.2008 08:38:15 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: aus Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, D:, E:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Freitag, 20. März 2009 20:28 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '29' Prozesse mit '29' Modulen durchsucht Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '60' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'D:\' D:\System Volume Information\_restore{58CDBE17-AB07-4E14-9ECC-8316306BC021}\RP196\A0082357.exe [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f40fed.qua' verschoben! Beginne mit der Suche in 'E:\' E:\System Volume Information\_restore{89CC5BB3-6546-419F-940C-6DADA1447C93}\RP33\A0066945.exe [0] Archivtyp: CAB SFX (self extracting) --> \layout.bin [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. Ende des Suchlaufs: Freitag, 20. März 2009 23:10 Benötigte Zeit: 2:42:43 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 8478 Verzeichnisse wurden überprüft 587915 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 587913 Dateien ohne Befall 5529 Archive wurden durchsucht 2 Warnungen 1 Hinweise Habe ihn erst gelöscht, und nach einem erneuten positiven Suchlauf in Quarantäne gesteckt. Ich habe dann soweit erst einmal alles abgearbeitet: cc cleaner laufen lassen, bis keine Fehler mehr gefunden wurden. Malwarebytes' Anti-Malware 1.34 Datenbank Version: 1878 Windows 5.1.2600 Service Pack 3 21.03.2009 00:34:08 mbam-log-2009-03-21 (00-34-08).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|) Durchsuchte Objekte: 185996 Laufzeit: 1 hour(s), 5 minute(s), 51 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:36:08, on 21.03.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\Rundll32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\CCleaner\CCleaner.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Malwarebytes' Anti-Malware\mbam.exe D:\Programme\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{4BD75EF6-A6C4-4107-A1B4-1BCF00CB9B58}: NameServer = 192.168.121.252,192.168.121.253 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe -- End of file - 5335 bytes 50 FREE MP3s +1 Free Audiobook! Adobe Flash Player 10 Plugin Adobe Reader 8.1.0 - Deutsch Advanced WindowsCare Personal Apple Mobile Device Support Apple Software Update Audiograbber 1.83 SE Avira AntiVir Personal - Free Antivirus Bonjour Canon iP4300 Canon iP4300 Benutzerregistrierung Canon Setup Utility 2.3 Canon Utilities Easy-PrintToolBox CCleaner (remove only) CD-LabelPrint C-Media WDM Audio Driver CorelDRAW 10 CorelDRAW 10_TV Easy-WebPrint Free YouTube to Mp3 Converter version 3.1 HijackThis 2.0.2 Hotfix für Windows XP (KB952287) ImageMixer for HDD Camcorder ISDN CAPI Port iTunes Java(TM) 6 Update 11 Java(TM) 6 Update 5 Java(TM) 6 Update 7 Malwarebytes' Anti-Malware MediaMonkey 2.5 Microsoft Office XP Professional mit FrontPage Mouse Driver V1.0 Mozilla Firefox (3.0.6) MSXML 4.0 SP2 (KB936181) MSXML 4.0 SP2 (KB954430) Multimedia Keyboard Driver Nero 7 Ultra Edition Nero PhotoShow Express NVIDIA Windows 2000/XP Display Drivers Ports Of Call - 2008 deluxe DEMO 1.26c QuickCam QuickTime RealPlayer save2pc Light 3.37 Sicherheitsupdate für Windows XP (KB923689) Sicherheitsupdate für Windows XP (KB938464) Sicherheitsupdate für Windows XP (KB941569) Sicherheitsupdate für Windows XP (KB946648) Sicherheitsupdate für Windows XP (KB950759) Sicherheitsupdate für Windows XP (KB950760) Sicherheitsupdate für Windows XP (KB950762) Sicherheitsupdate für Windows XP (KB950974) Sicherheitsupdate für Windows XP (KB951066) Sicherheitsupdate für Windows XP (KB951376) Sicherheitsupdate für Windows XP (KB951376-v2) Sicherheitsupdate für Windows XP (KB951698) Sicherheitsupdate für Windows XP (KB951748) Sicherheitsupdate für Windows XP (KB952954) Sicherheitsupdate für Windows XP (KB953838) Sicherheitsupdate für Windows XP (KB953839) Sicherheitsupdate für Windows XP (KB954211) Sicherheitsupdate für Windows XP (KB954459) Sicherheitsupdate für Windows XP (KB955069) Sicherheitsupdate für Windows XP (KB956390) Sicherheitsupdate für Windows XP (KB956391) Sicherheitsupdate für Windows XP (KB956803) Sicherheitsupdate für Windows XP (KB956841) Sicherheitsupdate für Windows XP (KB957095) Sicherheitsupdate für Windows XP (KB957097) Sicherheitsupdate für Windows XP (KB958644) Sony Ericsson PC Suite 1.20.173 Teledat 150 Teledat Konfigurationsprogramm Turbo Lister 2 Uninstall 1.0.0.1 Update für Windows XP (KB898461) Update für Windows XP (KB942763) Update für Windows XP (KB951072-v2) Update für Windows XP (KB951978) Winamp Winamp Remote Winamp Toolbar for Firefox Winamp Toolbar for Internet Explorer Windows Media Format Runtime Windows XP Service Pack 3 XnView 1.95.1 Sollte ich etwas vergessen haben, so lasst es mich bitte wissen. Welchen Aufschluss geben die nun geposteten Informationen? Ich danke Euch vorab für Eure Hilfe! T und N Geändert von T und N (21.03.2009 um 01:20 Uhr) |
| Themen zu Avira findet TR/Crypt.XPACK.Gen |
| adobe, antivir, avg, avgnt.exe, avira, bho, canon, converter, excel, fehler, firefox.exe, flash player, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logon.exe, mozilla, nt.dll, plug-in, prozesse, registrierungsschlüssel, registry, rundll, sched.exe, services.exe, software, suchlauf, svchost.exe, tr/crypt.xpack.ge, tr/crypt.xpack.gen, verweise, virus, virus gefunden, warnung, windows |
Baum-Darstellung