Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 29.09.2010, 15:03   #1
Toppy
 
TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen? - Standard

TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen?



Hallo,

Avira AntiVir meldet mir den Trojaner TR/Crypt.XPACK.Gen3 in C:\Programme\Norton AntiVirus\Savrt\0066NAV~.TMP. Ich habe die Datei in die Quarantäne gesteckt, bin mir aber nicht sicher, ob das Problem damit wirklich gelöst ist. Ich benötige den PC z. B. auch für Online-Banking und habe daher etwas Angst vor Keyloggern etc. Da ich mich nicht allzu sehr mit PCs auskenne benötige ich hier Hilfe, um den Trojaner wieder los zu werden.

Norton AntiVirus wurde schon vor einiger Zeit deinstalliert (war Testversion beim Kauf des PCs), weshalb es mich gewundert hat, dass überhaupt noch ein Ordner davon existiert.

Auf Grund ähnlicher Threads hier im Forum und den Anleitungen habe ich die Programme Anti-Maleware und OTL ausgeführt und die Log-Dateien hier angehängt. Allerdings habe ich die Programme nach der Installation versehentlich unter dem Admin-Konto ausgeführt und erst anschließend unter dem Benutzer-Konto, in welchem der Trojaner gefunden wurde. Im Admin-Account hat Malewarebytes auch etwas gefunden, ich weiß aber nicht, ob das mit der Trojaner-Warnung in Zusammenhang steht. Ich habe dort dann auf "Ausgewähltes entfernen" geklickt. War das ein Fehler?

Hier die Logs vom Admin-Konto:
Anhang 9283
Anhang 9284
Anhang 9285

Und hier die Logs vom User-Konto:
Anhang 9286
Anhang 9287
Anhang 9288


Ich bin neu hier und kenne mich nicht gut mit PCs aus und danke daher jedem, der mir hier helfen kann.

Vielen Dank!
Toppy

Alt 30.09.2010, 19:14   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen? - Standard

TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen?



Zitat:
Art des Suchlaufs: Quick-Scan
Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Alle Analyse-Tools müssen als Admin ausgeführt werden!
__________________

__________________

Alt 01.10.2010, 00:37   #3
Toppy
 
TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen? - Standard

TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen?



Hallo Cosinus,

danke für deine Hilfe.
Hier die Logdatei vom Malewarbyte-Vollscan. Es wurde tatsächlich noch was gefunden. Ob das wohl was mit dem Trojaner zu tun hat? Ich habe die Dateien löschen lassen und nach Aufforderung den PC neu gestartet. Beim Booten wurde komischerweise ein "Scandisc" ausgeführt, aber keine Fehler gefunden.

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4724

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

01.10.2010 00:16:04
mbam-log-2010-10-01 (00-16-04).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 194489
Laufzeit: 45 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\system volume information\_restore{C1470C18-E445-4490-9A01-C5F2D5D880B7}\RP35\A0009050.RBF (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
C:\system volume information\_restore{C1470C18-E445-4490-9A01-C5F2D5D880B7}\RP35\A0009052.RBF (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
C:\system volume information\_restore{C1470C18-E445-4490-9A01-C5F2D5D880B7}\RP35\A0009053.RBF (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
         
__________________

Alt 01.10.2010, 09:24   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen? - Standard

TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen?



Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 01.10.2010, 09:52   #5
Toppy
 
TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen? - Standard

TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen?



Ok, die Wiederherstellung ist deaktiviert. In der erwähnten Anleitung heißt es an einer Stelle "... dann das Häkchen wieder rausnehmen.(also wieder aktivieren)". Ich hab die Funktion trotzdem deaktiviert gelassen. Ist das so richtig? Ich brauche die Funktion sowieso nicht. Soll ich nun nochmals nen Malwarebyte-Vollscan laufen lassen?

Gruß
Toppy


Alt 01.10.2010, 10:12   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen? - Standard

TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen?



Ja ist so richtig.
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
--> TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen?

Alt 01.10.2010, 11:44   #7
Toppy
 
TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen? - Standard

TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen?



Ok, wurde erledigt.
Mit dem CCleaner lief alles wie beschrieben. Allerdings konnte ich vor dem Start von Combofix "Avira AntiVir" nicht vollständig beenden und lediglich den Guard deaktivieren. Auch über den TaskManager ging nichts. Es kam immer die Meldung "Programm kann nicht beendet werden! Zugriff verweigert" (obwohl ich ja als Admin angemeldet war). Hab Combofix dann trotzdem laufen lassen. War das ok? Es lief sonst auch hier alles wie in der Anleitung beschrieben.
Edit: Zählt die Windows Firewall auch als Hintergrundwächter? Dann muss ich es nochmal machen, die war nämlich noch an.

Code:
ATTFilter
ComboFix 10-09-30.03 - Admin 01.10.2010  11:24:58.1.1 - FAT32x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.502.267 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Admin\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\autorun.ini

.
(((((((((((((((((((((((   Dateien erstellt von 2010-09-01 bis 2010-10-01  ))))))))))))))))))))))))))))))
.

2010-10-01 09:04 . 2010-10-01 09:04    --------    d-----w-    c:\programme\CCleaner
2010-09-29 10:14 . 2010-09-29 10:14    --------    d-----w-    c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2010-09-29 09:32 . 2010-09-29 09:32    --------    d-----w-    c:\dokumente und einstellungen\Admin\Anwendungsdaten\Malwarebytes
2010-09-29 09:32 . 2010-04-29 10:19    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-29 09:32 . 2010-09-29 09:32    --------    d-----w-    c:\programme\Malwarebytes' Anti-Malware
2010-09-29 09:32 . 2010-09-29 09:32    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-29 09:32 . 2010-04-29 10:19    20952    ----a-w-    c:\windows\system32\drivers\mbam.sys
2010-09-29 09:21 . 2010-09-29 09:21    --------    d-----r-    c:\dokumente und einstellungen\LocalService\Eigene Dateien
2010-09-29 08:12 . 2010-09-29 08:12    --------    d-----r-    c:\dokumente und einstellungen\LocalService\Favoriten
2010-09-29 08:11 . 2010-09-29 08:11    --------    d-sh--w-    c:\dokumente und einstellungen\LocalService\IETldCache
2010-09-28 13:52 . 2008-06-23 20:20    95744    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonBJ\IJPrinter\CNMWINDOWS\Canon MP540 series Printer\LanguageModules\0407\CNMsr9E.dll
2010-09-28 13:50 . 2010-09-28 13:50    --------    d--h--w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonBJ
2010-09-28 13:50 . 2008-05-26 20:00    69632    ----a-w-    c:\windows\system32\Spool\prtprocs\w32x86\CNMPP9E.DLL
2010-09-28 13:50 . 2008-05-26 20:00    27136    ----a-w-    c:\windows\system32\Spool\prtprocs\w32x86\CNMPD9E.DLL
2010-09-28 13:50 . 2008-05-26 20:00    230912    ----a-w-    c:\windows\system32\CNMLM9E.DLL
2010-09-28 13:50 . 2010-09-28 13:50    --------    d--h--w-    c:\windows\system32\CanonIJ Uninstaller Information
2010-09-28 13:49 . 2008-05-30 00:27    270336    ----a-w-    c:\windows\system32\CNC540L.DLL
2010-09-28 13:49 . 2008-04-07 05:58    1339392    ----a-w-    c:\windows\system32\CNC540C.DLL
2010-09-28 13:49 . 2008-04-07 05:58    98304    ----a-w-    c:\windows\system32\CNC540I.DLL
2010-09-28 13:49 . 2007-03-15 05:12    188416    ----a-w-    c:\windows\system32\CNC540O.DLL
2010-09-28 13:49 . 2010-09-28 13:49    --------    d--h--w-    c:\programme\CanonBJ
2010-09-28 13:46 . 2010-09-28 13:46    --------    d-----w-    c:\programme\Canon
2010-09-28 10:31 . 2010-09-28 10:31    --------    d-sh--w-    c:\dokumente und einstellungen\***\IECompatCache
2010-09-25 17:19 . 2010-09-25 17:19    --------    d-----w-    c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Identities
2010-09-25 16:38 . 2010-09-25 16:38    --------    d-----w-    c:\dokumente und einstellungen\***\Anwendungsdaten\Design Science
2010-09-24 12:44 . 2010-09-24 12:44    --------    d-----w-    c:\windows\Sun
2010-09-24 07:19 . 2010-09-24 07:19    --------    d-----w-    c:\dokumente und einstellungen\Admin\Anwendungsdaten\Tracker Software
2010-09-22 21:12 . 2010-09-22 21:12    61440    ----a-w-    c:\dokumente und einstellungen\Admin\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-72969538-n\decora-sse.dll
2010-09-22 21:12 . 2010-09-22 21:12    12800    ----a-w-    c:\dokumente und einstellungen\Admin\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-72969538-n\decora-d3d.dll
2010-09-22 14:31 . 2009-12-09 15:31    20992    ----a-w-    c:\dokumente und einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\4r03ev7s.default\extensions\{de1b245c-de57-11da-ba2d-0050c2490048}\library\WINNT-32\MinimizeToTrayPlus.dll
2010-09-22 13:53 . 2010-09-22 13:53    --------    d-----w-    c:\dokumente und einstellungen\***\.tuxguitar-1.2
2010-09-22 13:53 . 2010-09-22 13:53    --------    d-----w-    c:\dokumente und einstellungen\***\Anwendungsdaten\Herac
2010-09-22 13:51 . 2010-09-22 13:51    --------    d-----w-    c:\windows\system32\NtmsData
2010-09-21 21:36 . 2010-09-21 21:37    --------    d-----w-    c:\dokumente und einstellungen\***\Anwendungsdaten\vlc
2010-09-21 17:22 . 2010-09-21 17:22    --------    d-----w-    c:\dokumente und einstellungen\Admin\Anwendungsdaten\vlc
2010-09-21 13:12 . 2010-09-21 13:12    --------    d-----w-    c:\dokumente und einstellungen\***\Anwendungsdaten\Avira
2010-09-21 12:50 . 2010-09-21 12:50    --------    d-----w-    c:\dokumente und einstellungen\***\Anwendungsdaten\Search Settings
2010-09-21 12:45 . 2001-10-28 15:42    116224    ----a-w-    c:\windows\system32\pdfcmnnt.dll
2010-09-21 12:44 . 1998-07-06 16:56    125712    ----a-w-    c:\windows\system32\VB6DE.DLL
2010-09-21 12:44 . 1998-07-06 16:55    158208    ----a-w-    c:\windows\system32\MSCMCDE.DLL
2010-09-21 12:44 . 1998-07-06 16:55    64512    ----a-w-    c:\windows\system32\MSCC2DE.DLL
2010-09-21 12:44 . 1998-07-05 23:00    23552    ----a-w-    c:\windows\system32\MSMPIDE.DLL
2010-09-21 09:05 . 2010-09-21 09:05    --------    d-----w-    c:\dokumente und einstellungen\***\Anwendungsdaten\Free Monitor for Google
2010-09-20 21:43 . 2010-09-01 13:52    66112    ----a-w-    c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\k8o8fusf.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\chrome\content\getPlus_Helper_3004.dll
2010-09-20 21:43 . 2010-09-01 13:52    35136    ----a-w-    c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\k8o8fusf.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll
2010-09-20 21:43 . 2010-09-01 13:52    328080    ----a-w-    c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\k8o8fusf.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\chrome\content\getPlusPlus_Adobe.exe
2010-09-20 21:43 . 2010-09-01 13:52    32032    ----a-w-    c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\k8o8fusf.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\chrome\content\getPlusPlus_Adobe_reg.exe
2010-09-20 16:48 . 2010-09-20 16:48    --------    d-----w-    c:\programme\Microsoft Silverlight
2010-09-20 16:28 . 2010-09-20 16:28    503808    ----a-w-    c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-3f09dd44-n\msvcp71.dll
2010-09-20 16:28 . 2010-09-20 16:28    499712    ----a-w-    c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-3f09dd44-n\jmc.dll
2010-09-20 16:28 . 2010-09-20 16:28    348160    ----a-w-    c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-3f09dd44-n\msvcr71.dll
2010-09-20 16:27 . 2010-09-20 16:27    61440    ----a-w-    c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-1d755812-n\decora-sse.dll
2010-09-20 16:27 . 2010-09-20 16:27    12800    ----a-w-    c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-1d755812-n\decora-d3d.dll
2010-09-20 15:12 . 2010-09-20 15:12    --------    d-----w-    c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-09-20 12:14 . 2010-09-20 12:14    --------    d-----w-    c:\dokumente und einstellungen\***\Anwendungsdaten\IBP
2010-09-20 12:10 . 2010-09-20 12:11    --------    d-----w-    c:\dokumente und einstellungen\***\Anwendungsdaten\FileZilla
2010-09-20 11:58 . 2010-09-20 11:58    --------    d-----w-    c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-09-20 11:52 . 2010-09-20 11:52    --------    d-----w-    c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Thunderbird
2010-09-20 11:52 . 2010-09-20 11:52    --------    d-----w-    c:\dokumente und einstellungen\***\Anwendungsdaten\Thunderbird
2010-09-20 11:37 . 2010-09-20 11:37    --------    d-sh--w-    c:\dokumente und einstellungen\***\IETldCache
2010-09-20 10:33 . 2000-03-10 08:05    863744    ----a-w-    c:\windows\system32\Cw3245mt.dll
2010-09-20 10:33 . 2000-03-10 08:05    271872    ----a-w-    c:\windows\system32\Cxf0332b.dll
2010-09-20 10:33 . 2000-03-10 08:05    260096    ----a-w-    c:\windows\system32\Cxf0332a.dll
2010-09-20 10:33 . 2000-03-10 08:05    25088    ----a-w-    c:\windows\system32\Cxf0332c.dll
2010-09-20 10:32 . 2007-05-16 08:30    118784    ----a-w-    c:\windows\system32\SciFiSoft.dll
2010-09-20 10:13 . 2010-09-20 10:13    --------    d-----w-    c:\programme\Gemeinsame Dateien\Deterministic Networks
2010-09-20 09:49 . 2010-09-20 09:49    --------    d-----w-    c:\dokumente und einstellungen\Admin\Anwendungsdaten\IBP
2010-09-20 09:47 . 2010-09-20 09:47    10134    ----a-r-    c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Installer\{20B1B020-DEAE-48D1-9960-D4C3185D758B}\Foren.exe
2010-09-20 09:47 . 2010-09-20 09:47    766    ----a-r-    c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Installer\{20B1B020-DEAE-48D1-9960-D4C3185D758B}\htmledit.exe
2010-09-20 09:29 . 2010-09-20 09:29    --------    d-----w-    c:\windows\Internet Logs
2010-09-20 09:10 . 2010-09-20 09:10    --------    d-----w-    c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Help
2010-09-20 09:03 . 1997-08-15 12:20    299008    ----a-w-    c:\windows\unin0407.exe
2010-09-20 09:03 . 2010-09-20 09:03    --------    d-----w-    c:\dokumente und einstellungen\Admin\WINDOWS
2010-09-20 08:57 . 2010-09-20 08:57    --------    d-----w-    c:\windows\ShellNew
2010-09-20 08:56 . 2010-09-20 08:56    --------    d-----w-    c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft Web Folders
2010-09-20 08:52 . 2010-09-20 08:52    --------    d-----w-    c:\programme\Gemeinsame Dateien\Nero
2010-09-20 08:49 . 2000-06-26 09:45    106496    ----a-w-    c:\windows\system32\TwnLib20.dll
2010-09-20 08:49 . 2004-07-26 15:16    476320    ------w-    c:\windows\system32\ImagXpr7.dll
2010-09-20 08:49 . 2004-07-26 15:16    471040    ------w-    c:\windows\system32\ImagXRA7.dll
2010-09-20 08:49 . 2004-07-26 15:16    262144    ------w-    c:\windows\system32\ImagXR7.dll
2010-09-20 08:49 . 2004-07-26 15:16    1568768    ------w-    c:\windows\system32\ImagX7.dll
2010-09-20 08:49 . 2001-07-09 09:50    155648    ----a-w-    c:\windows\system32\NeroCheck.exe
2010-09-20 08:49 . 2010-09-20 08:49    --------    d-----w-    c:\programme\Gemeinsame Dateien\Ahead
2010-09-20 08:33 . 2010-09-20 08:33    --------    d-----w-    c:\programme\Gemeinsame Dateien\Adobe
2010-09-20 08:14 . 2010-09-20 08:14    --------    d-----w-    c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-09-20 07:57 . 2008-04-14 05:52    221184    ----a-w-    c:\windows\system32\wmpns.dll
2010-09-20 07:41 . 2010-09-20 07:41    --------    d-----w-    c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Thunderbird
2010-09-20 07:41 . 2010-09-20 07:41    --------    d-----w-    c:\dokumente und einstellungen\Admin\Anwendungsdaten\Thunderbird
2010-09-20 07:41 . 2010-09-20 07:41    --------    d-----w-    c:\programme\Mozilla Thunderbird
2010-09-20 07:27 . 2010-06-24 12:22    599040    ------w-    c:\windows\system32\dllcache\msfeeds.dll
2010-09-20 07:27 . 2010-06-24 12:22    55296    ------w-    c:\windows\system32\dllcache\msfeedsbs.dll
2010-09-20 07:27 . 2010-06-24 12:21    247808    ------w-    c:\windows\system32\dllcache\ieproxy.dll
2010-09-20 07:27 . 2010-06-24 12:22    1986560    ------w-    c:\windows\system32\dllcache\iertutil.dll
2010-09-20 07:27 . 2010-06-24 12:22    12800    ------w-    c:\windows\system32\dllcache\xpshims.dll
2010-09-20 07:27 . 2010-06-24 12:21    743424    ------w-    c:\windows\system32\dllcache\iedvtool.dll
2010-09-20 07:26 . 2008-06-14 17:32    273024    ------w-    c:\windows\system32\dllcache\bthport.sys
2010-09-20 07:24 . 2010-06-21 15:27    354304    ------w-    c:\windows\system32\dllcache\srv.sys
2010-09-20 07:13 . 2009-11-21 15:54    471552    ------w-    c:\windows\system32\dllcache\aclayers.dll
2010-09-20 07:12 . 2010-06-14 14:31    744448    ------w-    c:\windows\system32\dllcache\helpsvc.exe
2010-09-20 07:10 . 2009-06-21 21:45    153088    ------w-    c:\windows\system32\dllcache\triedit.dll
2010-09-20 07:10 . 2010-04-28 18:11    2192256    ------w-    c:\windows\system32\dllcache\ntoskrnl.exe
2010-09-20 07:10 . 2010-04-28 05:41    2148864    ------w-    c:\windows\system32\dllcache\ntkrnlmp.exe
2010-09-20 07:10 . 2010-04-28 05:41    2069120    ------w-    c:\windows\system32\dllcache\ntkrnlpa.exe
2010-09-20 07:10 . 2010-04-28 05:41    2027008    ------w-    c:\windows\system32\dllcache\ntkrpamp.exe
2010-09-20 07:03 . 2008-05-01 14:34    331776    ------w-    c:\windows\system32\dllcache\msadce.dll
2010-09-20 06:44 . 2009-02-06 10:10    227840    ------w-    c:\windows\system32\dllcache\wmiprvse.exe
2010-09-20 06:44 . 2009-03-06 14:19    286720    ------w-    c:\windows\system32\dllcache\pdh.dll
2010-09-20 06:44 . 2009-02-09 11:21    111104    ------w-    c:\windows\system32\dllcache\services.exe
2010-09-20 06:44 . 2009-02-09 10:51    401408    ------w-    c:\windows\system32\dllcache\rpcss.dll
2010-09-20 06:44 . 2009-02-09 10:51    473600    ------w-    c:\windows\system32\dllcache\fastprox.dll
2010-09-20 06:44 . 2009-02-09 10:51    740352    ------w-    c:\windows\system32\dllcache\ntdll.dll
2010-09-20 06:44 . 2009-02-09 10:51    678400    ------w-    c:\windows\system32\dllcache\advapi32.dll
2010-09-20 06:44 . 2009-02-09 10:51    453120    ------w-    c:\windows\system32\dllcache\wmiprvsd.dll
2010-09-20 06:35 . 2008-10-15 16:35    337408    ------w-    c:\windows\system32\dllcache\netapi32.dll
2010-09-20 06:34 . 2008-04-21 21:13    217600    ------w-    c:\windows\system32\dllcache\wordpad.exe
2010-09-20 06:29 . 2010-09-20 06:29    --------    d-----w-    c:\windows\ie8updates
2010-09-20 06:29 . 2010-09-20 06:29    --------    d-----w-    c:\programme\MSXML 4.0
2010-09-20 06:26 . 2010-02-24 13:11    455680    ------w-    c:\windows\system32\dllcache\mrxsmb.sys
2010-09-20 06:25 . 2009-10-15 16:28    81920    ------w-    c:\windows\system32\dllcache\fontsub.dll
2010-09-20 06:25 . 2009-10-15 16:28    119808    ------w-    c:\windows\system32\dllcache\t2embed.dll
2010-09-20 06:24 . 2010-02-12 10:03    293376    ------w-    c:\windows\system32\browserchoice.exe
2010-09-20 06:21 . 2010-06-18 13:36    3558912    ------w-    c:\windows\system32\dllcache\moviemk.exe
2010-09-19 22:10 . 2008-05-08 14:02    203136    ------w-    c:\windows\system32\dllcache\rmcast.sys
2010-09-17 13:27 . 2010-09-17 13:27    --------    d-----w-    c:\windows\system32\autorun
2010-09-17 12:13 . 2010-09-17 12:13    --------    d-----w-    c:\programme\Gemeinsame Dateien\Logitech

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-01 07:39 . 2006-08-04 16:01    12    ----a-w-    c:\windows\bthservsdp.dat
2010-09-24 06:43 . 2006-08-02 12:59    64848    ----a-w-    c:\windows\system32\perfc007.dat
2010-09-24 06:43 . 2006-08-02 12:59    393086    ----a-w-    c:\windows\system32\perfh007.dat
2010-09-20 12:17 . 2009-08-06 08:42    43096    ----a-w-    c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-09-20 11:37 . 2010-09-17 11:55    43096    ----a-w-    c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-09-20 09:04 . 2010-09-20 09:04    --------    d-----w-    c:\programme\Gemeinsame Dateien\Kodak
2010-09-17 11:57 . 2010-09-17 11:55    136    ----a-w-    c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
2010-09-17 11:27 . 2004-06-25 15:13    176    ----a-w-    c:\windows\HotFix.bat
2010-08-17 13:17 . 2004-08-04 03:00    58880    ----a-w-    c:\windows\system32\spoolsv.exe
2010-07-22 15:48 . 2004-08-04 03:00    590848    ----a-w-    c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2010-07-22 06:19    5632    ------w-    c:\windows\system32\xpsp4res.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"AGRSMMSG"="AGRSMMSG.exe" [2005-12-13 88204]
"RTHDCPL"="RTHDCPL.EXE" [2006-07-19 16248320]
"AzMixerSel"="c:\programme\Realtek\InstallShield\AzMixerSel.exe" [2006-07-19 53248]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-04-29 766041]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2006-03-17 345088]
"Acer ePresentation HPD"="c:\acer\Empowering Technology\ePresentation\ePresentation.exe" [2006-06-07 208896]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-06-13 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2006-06-13 118784]
"ePower_DMC"="c:\acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-07-12 438272]
"Boot"="c:\acer\Empowering Technology\ePower\Boot.exe" [2006-03-15 579584]
"LManager"="c:\progra~1\LAUNCH~1\QtZgAcer.EXE" [2006-07-14 471040]
"eRecoveryService"="c:\acer\Empowering Technology\eRecovery\eRAgent.exe" [2006-06-01 413696]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 56080]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Acer Empowering Technology.lnk - c:\acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe [2006-6-29 45056]
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2009-8-6 692224]
Logitech Desktop Messenger.lnk - c:\programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2009-8-6 67128]
Microsoft Office.lnk - d:\programmed\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
VPN Client.lnk - c:\windows\Installer\{B0BF7057-6869-4E4B-920C-EA2A58DA07F0}\Icon3E5562ED7.ico [2010-9-20 6144]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [07.08.2009 23:39 135336]
S3 lv321av;Logitech USB PC Camera (VC0321);c:\windows\system32\DRIVERS\lv321av.sys --> c:\windows\system32\DRIVERS\lv321av.sys [?]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
FF - ProfilePath - c:\dokumente und einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\2dk4fxlo.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npPDFXCviewNPPlugin.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npSfAppM.dll
FF - plugin: d:\programmed\PDF x-Change\PDF Viewer\npPDFXCviewNPPlugin.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-IBP - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-10-01 11:29
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Zeit der Fertigstellung: 2010-10-01  11:31:16
ComboFix-quarantined-files.txt  2010-10-01 09:31

Vor Suchlauf: 6.030.303.232 Bytes frei
Nach Suchlauf: 6.007.472.128 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - 0EB822C526BA6FDC1E23FB9A3155C249
         

Alt 01.10.2010, 12:12   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen? - Standard

TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen?



Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 01.10.2010, 13:52   #9
Toppy
 
TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen? - Standard

TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen?



Hier mal die Logs von GMER und OSAM und Bootkit Remover. GMER ist beim Schließen des Programmes abgestürtzt, musste Reset drücken. Beim Booten wurde dann eine Meldung angezeigt, dass eine Datei (wurde nicht näher benannt) wiederhergestellt werden musste.

GMER-Log:
Code:
ATTFilter
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-10-01 13:10:49
Windows 5.1.2600 Service Pack 3
Running: qucnopvj.exe; Driver: C:\DOKUME~1\Admin\LOKALE~1\Temp\agldqpog.sys


---- System - GMER 1.0.15 ----

SSDT            F8C3ECB6                                                                                                   ZwCreateKey
SSDT            F8C3ECAC                                                                                                   ZwCreateThread
SSDT            F8C3ECBB                                                                                                   ZwDeleteKey
SSDT            F8C3ECC5                                                                                                   ZwDeleteValueKey
SSDT            F8C3ECCA                                                                                                   ZwLoadKey
SSDT            F8C3EC98                                                                                                   ZwOpenProcess
SSDT            F8C3EC9D                                                                                                   ZwOpenThread
SSDT            F8C3ECD4                                                                                                   ZwReplaceKey
SSDT            F8C3ECCF                                                                                                   ZwRestoreKey
SSDT            F8C3ECC0                                                                                                   ZwSetValueKey

Code            \??\C:\DOKUME~1\Admin\LOKALE~1\Temp\catchme.sys                                                            pIofCallDriver

---- Kernel code sections - GMER 1.0.15 ----

?               C:\DOKUME~1\Admin\LOKALE~1\Temp\catchme.sys                                                                Das System kann die angegebene Datei nicht finden. !
?               C:\WINDOWS\system32\Drivers\PROCEXP113.SYS                                                                 Das System kann die angegebene Datei nicht finden. !
?               C:\DOKUME~1\Admin\LOKALE~1\Temp\mbr.sys                                                                    Das System kann die angegebene Datei nicht finden. !

---- User IAT/EAT - GMER 1.0.15 ----

IAT             D:\ProgrammeD\VPN\cvpnd.exe[428] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress]            [00EE2BC8] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
IAT             D:\ProgrammeD\VPN\cvpnd.exe[428] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!UnhandledExceptionFilter]  [00EE2CE9] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)
IAT             D:\ProgrammeD\VPN\cvpnd.exe[428] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!TerminateProcess]          [00EE2CB8] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                    SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                   fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0016cedc7b19                                
Reg             HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0016cedc7b19 (not active ControlSet)            

---- EOF - GMER 1.0.15 ----
         
OSAM-Log:
Code:
ATTFilter
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 13:42:59 on 01.10.2010

OS: Windows XP Home Edition Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.10

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"CAMCPL.CPL" - "FotoNation inc." - C:\WINDOWS\system32\CAMCPL.CPL
"JAVACPL.CPL" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\JAVACPL.CPL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal" - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\DOKUME~1\Admin\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"Cisco Systems Inc. IPSec Driver" (CVPNDRVA) - "Cisco Systems, Inc." - C:\WINDOWS\system32\Drivers\CVPNDRVA.sys
"Deterministic Network Enhancer Miniport" (DNE) - "Deterministic Networks, Inc." - C:\WINDOWS\System32\DRIVERS\dne2000.sys
"int15" (int15) - ? - C:\WINDOWS\system32\drivers\int15.sys  (File found, but it contains no detailed information)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"Logitech USB PC Camera (VC0321)" (lv321av) - ? - C:\WINDOWS\System32\DRIVERS\lv321av.sys  (File not found)
"Microsoft HID Class-Treiber" (HidUsb) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\hidusb.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"psdfilter" (psdfilter) - "HiTRUST" - C:\WINDOWS\system32\Drivers\psdfilter.sys
"psdvdisk" (psdvdisk) - "HiTRUST" - C:\WINDOWS\system32\Drivers\psdvdisk.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"SYMIDSCO" (SYMIDSCO) - ? - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SymcData\IDS-DI~1\20050901.036\symidsco.sys  (File not found)
"tvicport" (tvicport) - "EnTech Taiwan" - C:\WINDOWS\system32\drivers\tvicport.sys
"Upper Class Filter Driver" (NTIDrvr) - "NewTech Infosystems, Inc." - C:\WINDOWS\System32\DRIVERS\NTIDrvr.sys
"vsdatant" (vsdatant) - "Zone Labs, LLC" - C:\WINDOWS\system32\vsdatant.sys
"WAN Miniport (ATW)" (wanatw) - ? - C:\WINDOWS\System32\DRIVERS\wanatw4.sys  (File not found)
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
"zntport" (zntport) - "Zeal SoftStudio" - C:\WINDOWS\system32\drivers\zntport.sys

[Explorer]
-----( HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{BDEADF00-C265-11d0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
{B2F55D43-C7A4-4B7C-90D7-7A860DFA9F2A} "PXCInfoShlExt Class" - "Tracker Software Products Ltd." - D:\ProgrammeD\PDF x-Change\Shell Extensions\XCShInfo.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{9462A756-7B47-47BC-8C80-C34B9B80B32B} "BackWeb GA Pluggable Protocol" - "Logitech Inc." - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{2b45bd21-71f8-4c8c-a87a-7eeb25a1a3e0} "EPM-PO Shell Extensions" - "Acer Labs USA" - C:\WINDOWS\system32\epm-po.dll
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -   (File not found | COM-object registry key not found)
{DC70C4A5-2044-4c59-B806-DEFB9AE0DF7C} "KbLogiExt Class" - "Logitech Inc." - C:\Programme\Logitech\SetPoint\kbcplext.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{B9B9F083-2B04-452A-8691-83694AC1037B} "LogiExt Class" - "Logitech Inc." - C:\Programme\Logitech\SetPoint\mcplext.dll
{C56C4E21-706D-11d0-AFC5-444553540002} "Meine Digitalkamera" - "FotoNation Inc." - d:\programmed\Adobe\FotoNation Explorer\camview.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - D:\PROGRA~1\MICROS~1\Office\OLKFSTUB.DLL
{CF822AB4-6DB5-4FDA-BC28-E61DF36D2583} "PDF-XChange PDF Preview Provider" - "Tracker Software Products Ltd." - D:\ProgrammeD\PDF x-Change\Shell Extensions\XCShInfo.dll
{67EB453C-1BE1-48EC-AAF3-23B10277FCC1} "PDF-XChange PDF Property Handler" - "Tracker Software Products Ltd." - D:\ProgrammeD\PDF x-Change\Shell Extensions\XCShInfo.dll
{EBD0B8F4-A9A0-41B7-9695-030CD264D9C8} "PDF-XChange PDF Thumbnail Provider" - "Tracker Software Products Ltd." - D:\ProgrammeD\PDF x-Change\Shell Extensions\XCShInfo.dll
{5B043439-4F53-436E-8CFE-28F80934DBE6} "PXCPreviewHandlerXP Class" - "Tracker Software Products Ltd." - D:\ProgrammeD\PDF x-Change\Shell Extensions\PXCPrevHost.exe
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - D:\ProgrammeD\WinRar\rarext.dll
XCShInfo "{B2F55D43-C7A4-4B7C-90D7-7A860DFA9F2A}" - ? -   (File not found | COM-object registry key not found)

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"Messenger" - ? - C:\Programme\Messenger\msmsgs.exe  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
<binary data> "Acer eDataSecurity Management" - "HiTRUST" - C:\WINDOWS\system32\eDStoolbar.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"Acer Empowering Technology.lnk" - "Acer Inc." - C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe  (Shortcut exists | File exists)
"DESKTOP.INI" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\DESKTOP.INI
"Logitech Desktop Messenger.lnk" - "Logitech Inc." - C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe  (Shortcut exists | File exists)
"Logitech SetPoint.lnk" - "Logitech Inc." - C:\Programme\Logitech\SetPoint\SetPoint.exe  (Shortcut exists | File exists)
"Microsoft Office.lnk" - "Microsoft Corporation" - D:\ProgrammeD\Microsoft Office\Office\OSA9.EXE  (Shortcut exists | File exists)
"VPN Client.lnk" - "Cisco Systems, Inc." - D:\ProgrammeD\VPN\vpngui.exe  (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"DESKTOP.INI" - ? - C:\Dokumente und Einstellungen\Admin\Startmenü\Programme\Autostart\DESKTOP.INI
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Acer ePresentation HPD" - "Acer Inc." - C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"AzMixerSel" - "Realtek Semiconductor Corp." - C:\Programme\Realtek\InstallShield\AzMixerSel.exe
"Boot" - ? - C:\Acer\Empowering Technology\ePower\Boot.exe  (File found, but it contains no detailed information)
"eDataSecurity Loader" - "HiTRUST" - C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0
"ePower_DMC" - ? - C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
"eRecoveryService" - "Acer Inc." - C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
"LaunchApp" - "Acer Inc." - Alaunch
"LManager" - "Dritek System Inc." - C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
"NeroFilterCheck" - "Ahead Software Gmbh" - C:\WINDOWS\system32\NeroCheck.exe
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"PDFCreator" - ? - C:\WINDOWS\system32\pdfcmnnt.dll  (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)
"ASP.NET-Statusdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Cisco Systems, Inc. VPN Service" (CVPND) - "Cisco Systems, Inc." - D:\ProgrammeD\VPN\cvpnd.exe
"HID Input Service" (HidServ) - ? -  C:\WINDOWS\System32\hidserv.dll  (File not found)
"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"LightScribeService Direct Disc Labeling Service" (LightScribeService) - "Hewlett-Packard Company" - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
"Memory Check Service" (AcerMemUsageCheckService) - "Acer Inc." - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru
         
Bootkit Remover:
TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen?-bootkit.jpg

Geändert von Toppy (01.10.2010 um 14:00 Uhr)

Alt 01.10.2010, 15:43   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen? - Standard

TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen?



Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 02.10.2010, 14:00   #11
Toppy
 
TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen? - Standard

TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen?



Sorry, hat bisschen länger gedauert.
Code:
ATTFilter
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:            
Windows Version:        Windows XP Home Edition
Windows Information:        Service Pack 3 (build 2600)
Logical Drives Mask:        0x0000001c

Kernel Drivers (total 178):
  0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
  0x806E5000 \WINDOWS\system32\hal.dll
  0xF8AF5000 \WINDOWS\system32\KDCOM.DLL
  0xF8A05000 \WINDOWS\system32\BOOTVID.dll
  0xF84C5000 ACPI.sys
  0xF8AF7000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
  0xF84B4000 pci.sys
  0xF85F5000 isapnp.sys
  0xF8605000 ohci1394.sys
  0xF8615000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
  0xF8A09000 compbatt.sys
  0xF8A0D000 \WINDOWS\system32\DRIVERS\BATTC.SYS
  0xF8BBD000 pciide.sys
  0xF8875000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xF8AF9000 aliide.sys
  0xF8AFB000 intelide.sys
  0xF8AFD000 toside.sys
  0xF8AFF000 viaide.sys
  0xF8B01000 cmdide.sys
  0xF8625000 MountMgr.sys
  0xF8477000 ftdisk.sys
  0xF8A11000 ACPIEC.sys
  0xF8BBE000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
  0xF887D000 PartMgr.sys
  0xF8635000 VolSnap.sys
  0xF8A15000 cpqarray.sys
  0xF845F000 \WINDOWS\system32\DRIVERS\SCSIPORT.SYS
  0xF8447000 atapi.sys
  0xF8A19000 aha154x.sys
  0xF8885000 sparrow.sys
  0xF8A1D000 symc810.sys
  0xF8645000 aic78xx.sys
  0xF8A21000 dac960nt.sys
  0xF8655000 ql10wnt.sys
  0xF8A25000 amsint.sys
  0xF888D000 asc.sys
  0xF8A29000 asc3550.sys
  0xF8895000 mraid35x.sys
  0xF889D000 i2omp.sys
  0xF8A2D000 ini910u.sys
  0xF8665000 ql1240.sys
  0xF8675000 aic78u2.sys
  0xF88A5000 symc8xx.sys
  0xF88AD000 sym_hi.sys
  0xF88B5000 sym_u3.sys
  0xF88BD000 ABP480N5.SYS
  0xF88C5000 asc3350p.sys
  0xF8B03000 cd20xrnt.sys
  0xF8685000 ultra.sys
  0xF842E000 adpu160m.sys
  0xF88CD000 dpti2o.sys
  0xF8695000 ql1080.sys
  0xF86A5000 ql1280.sys
  0xF86B5000 ql12160.sys
  0xF88D5000 perc2.sys
  0xF8B05000 perc2hib.sys
  0xF88DD000 hpn.sys
  0xF8A31000 cbidf2k.sys
  0xF8402000 dac2w2k.sys
  0xF86C5000 disk.sys
  0xF86D5000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xF83E2000 fltmgr.sys
  0xF83D0000 sr.sys
  0xF83AC000 Fastfat.sys
  0xF8395000 KSecDD.sys
  0xF8368000 NDIS.sys
  0xF86E5000 sisagp.sys
  0xF86F5000 viaagp.sys
  0xF834E000 Mup.sys
  0xF8705000 agp440.sys
  0xF8715000 alim1541.sys
  0xF8725000 amdagp.sys
  0xF8735000 agpCPQ.sys
  0xF8765000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0xF8110000 \SystemRoot\system32\DRIVERS\ialmnt5.sys
  0xF80FC000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xF80D4000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0xF8935000 \SystemRoot\system32\DRIVERS\usbuhci.sys
  0xF80B0000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xF893D000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xF8038000 \SystemRoot\system32\DRIVERS\ar5211.sys
  0xF8775000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0xF8945000 \SystemRoot\system32\DRIVERS\DKbFltr.sys
  0xF894D000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xF8008000 \SystemRoot\system32\DRIVERS\SynTP.sys
  0xF8B09000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xF8955000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xF8785000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xF8795000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xF87A5000 \SystemRoot\system32\DRIVERS\redbook.sys
  0xF7FE5000 \SystemRoot\system32\DRIVERS\ks.sys
  0xF8B0B000 \SystemRoot\system32\DRIVERS\NTIDrvr.sys
  0xF8AB1000 \SystemRoot\system32\DRIVERS\CmBatt.sys
  0xF8AB5000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
  0xF7FC6000 \SystemRoot\system32\DRIVERS\dne2000.sys
  0xF8C0D000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xF895D000 \SystemRoot\system32\DRIVERS\rasirda.sys
  0xF8965000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xF87B5000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xF8ABD000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0xF7FAF000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0xF87C5000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0xF87D5000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0xF7EFE000 \SystemRoot\system32\DRIVERS\psched.sys
  0xF87E5000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xF896D000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xF8975000 \SystemRoot\system32\DRIVERS\raspti.sys
  0xF87F5000 \SystemRoot\system32\DRIVERS\termdd.sys
  0xF8B0D000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xF7EA0000 \SystemRoot\system32\DRIVERS\update.sys
  0xF8ACD000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xF8805000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xAA37E000 \SystemRoot\system32\drivers\RtkHDAud.sys
  0xAA35A000 \SystemRoot\system32\drivers\portcls.sys
  0xF8835000 \SystemRoot\system32\drivers\drmk.sys
  0xAA247000 \SystemRoot\system32\DRIVERS\AGRSM.sys
  0xF897D000 \SystemRoot\System32\Drivers\Modem.SYS
  0xF8855000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xF8272000 \SystemRoot\System32\Drivers\i2omgmt.SYS
  0xF8B11000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xF8C6F000 \SystemRoot\System32\Drivers\Null.SYS
  0xF8B13000 \SystemRoot\System32\Drivers\Beep.SYS
  0xF899D000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0xF89A5000 \SystemRoot\System32\drivers\vga.sys
  0xF8B15000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xF8B17000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xF89AD000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xF89B5000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xF826A000 \SystemRoot\system32\DRIVERS\rasacd.sys
  0xAA1EC000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xAA193000 \SystemRoot\system32\DRIVERS\tcpip.sys
  0xAA16B000 \SystemRoot\system32\DRIVERS\netbt.sys
  0xAA149000 \SystemRoot\System32\drivers\afd.sys
  0xF8865000 \SystemRoot\system32\DRIVERS\netbios.sys
  0xF89BD000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0xAA02E000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0xA9FBE000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xF832E000 \SystemRoot\System32\Drivers\Fips.SYS
  0xA9F9C000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0xA9F4E000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xF831E000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xF8B1B000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
  0xF89C5000 \SystemRoot\system32\DRIVERS\usbccgp.sys
  0xF7E9C000 \SystemRoot\system32\DRIVERS\hidusb.sys
  0xF82FE000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
  0xF89CD000 \SystemRoot\system32\DRIVERS\LHidFilt.Sys
  0xF82EE000 \SystemRoot\system32\DRIVERS\WDFLDR.SYS
  0xA9ED3000 \SystemRoot\system32\DRIVERS\Wdf01000.sys
  0xF7E98000 \SystemRoot\system32\DRIVERS\kbdhid.sys
  0xF7E94000 \SystemRoot\system32\DRIVERS\mouhid.sys
  0xF89D5000 \SystemRoot\system32\DRIVERS\LMouFilt.Sys
  0xF82DE000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xA9EBB000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0xF8B1D000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xF7E7C000 \SystemRoot\System32\drivers\Dxapi.sys
  0xF89DD000 \SystemRoot\System32\watchdog.sys
  0xBF000000 \SystemRoot\System32\drivers\dxg.sys
  0xF8C90000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBF021000 \SystemRoot\System32\ialmdnt5.dll
  0xBF012000 \SystemRoot\System32\ialmrnt5.dll
  0xBF043000 \SystemRoot\System32\ialmdev5.DLL
  0xBF07E000 \SystemRoot\System32\ialmdd5.DLL
  0xA9D66000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0xA9BE8000 \SystemRoot\system32\DRIVERS\irda.sys
  0xA9C92000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0xA99DB000 \SystemRoot\system32\DRIVERS\mrxdav.sys
  0xA98AB000 \??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys
  0xA989A000 \??\C:\WINDOWS\system32\drivers\int15.sys
  0xA981B000 \SystemRoot\system32\DRIVERS\srv.sys
  0xA987E000 \??\C:\WINDOWS\system32\drivers\tvicport.sys
  0xF8CF4000 \??\C:\WINDOWS\system32\drivers\zntport.sys
  0xA9446000 \SystemRoot\system32\drivers\wdmaud.sys
  0xA9B40000 \SystemRoot\system32\drivers\sysaudio.sys
  0xA92EF000 \SystemRoot\System32\Drivers\HTTP.sys
  0xAA089000 \??\C:\WINDOWS\system32\Drivers\psdfilter.sys
  0xA914C000 \??\C:\WINDOWS\system32\Drivers\psdvdisk.sys
  0x7C910000 \WINDOWS\System32\ntdll.dll

Processes (total 49):
       0 System Idle Process
       4 System
     652 C:\WINDOWS\System32\SMSS.EXE
     736 CSRSS.EXE
     760 C:\WINDOWS\System32\WINLOGON.EXE
     804 C:\WINDOWS\System32\SERVICES.EXE
     816 C:\WINDOWS\System32\LSASS.EXE
     960 C:\Programme\Avira\AntiVir Desktop\AVGUARD.EXE
     980 C:\Programme\Avira\AntiVir Desktop\AVSHADOW.EXE
    1136 C:\WINDOWS\System32\SVCHOST.EXE
    1204 SVCHOST.EXE
    1244 C:\WINDOWS\System32\SVCHOST.EXE
    1344 SVCHOST.EXE
    1404 SVCHOST.EXE
    1716 C:\WINDOWS\System32\SPOOLSV.EXE
    1752 C:\Programme\Avira\AntiVir Desktop\SCHED.EXE
    1796 SVCHOST.EXE
    1852 C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
    1912 SVCHOST.EXE
    1948 D:\ProgrammeD\VPN\cvpnd.exe
    1996 C:\Programme\Java\JRE6\BIN\JQS.EXE
    2024 C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
     176 C:\WINDOWS\System32\SVCHOST.EXE
    1524 C:\WINDOWS\System32\WBEM\WMIAPSRV.EXE
    1548 WMIPRVSE.EXE
    1556 ALG.EXE
    1620 WMIPRVSE.EXE
    2216 C:\WINDOWS\Explorer.EXE
    2548 C:\WINDOWS\AGRSMMSG.exe
    2608 C:\WINDOWS\RTHDCPL.EXE
    2656 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    2800 C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
    2840 C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
    2872 C:\WINDOWS\System32\hkcmd.exe
    2880 C:\WINDOWS\System32\igfxpers.exe
    2892 C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
    2908 C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
    3040 C:\Programme\Launch Manager\QtZgAcer.EXE
    3072 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
    3084 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
    3264 C:\WINDOWS\System32\WBEM\unsecapp.exe
    3628 C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
    3712 C:\Programme\Logitech\SetPoint\SetPoint.exe
    3756 C:\WINDOWS\System32\igfxext.exe
    3792 C:\WINDOWS\System32\igfxsrvc.exe
    3824 C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
    3848 C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\RtkBtMnt.exe
    2064 C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
    1652 C:\Dokumente und Einstellungen\Admin\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000001`384c7a00  (FAT32)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000005`3507be00  (FAT32)

PhysicalDrive0 Model Number: HTS421240H9AT00, Rev: HACOA70S

      Size  Device Name          MBR Status
  --------------------------------------------
     37 GB  \\.\PhysicalDrive0   Unknown MBR code
            SHA1: 6A37CCD118436B688B51F6BD4C2B47A895EBDF7F


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit: 

Done!
         

Alt 03.10.2010, 14:08   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen? - Standard

TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen?



Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus.

Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen)

Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus den Bootkit Remover nochmals aus und poste das neue Log.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 03.10.2010, 23:32   #13
Toppy
 
TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen? - Standard

TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen?



Ok, hier das neue Log vom Bootkit Remover:
TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen?-bootkit2.jpg

Alt 04.10.2010, 09:57   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen? - Standard

TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen?



Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 04.10.2010, 13:36   #15
Toppy
 
TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen? - Standard

TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen?



Ok mit beiden Programmen wurde nichts gefunden. Heißt das, dass ich den Trojaner endgültig los bin?

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4737

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

04.10.2010 11:45:35
mbam-log-2010-10-04 (11-45-35).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 183152
Laufzeit: 38 Minute(n), 16 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
Code:
ATTFilter
SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 10/04/2010 bei 12:56 PM

Version der Applikation : 4.44.1000

Version der Kern-Datenbank : 5624
Version der Spur-Datenbank : 3436

Scan Art       : kompletter Scann
Totale Scann-Zeit : 01:02:06

Gescannte Speicherelemente  : 651
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 5686
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente     : 43728
Erfasste Datei-Elemente   : 0
         

Antwort

Themen zu TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen?
antivir, antivir meldet, antivirus, datei, e-banking, entfernen, fehler, forum, gelöst, installation, keylogger, meldet, neu, nicht sicher, norton, online-banking, ordner, pcs, problem, programme, quarantäne, testversion, tr/crypt.xpack.ge, tr/crypt.xpack.gen, tr/crypt.xpack.gen3, trojaner, trojaner gefunden, trojaner-warnung, version, welchem, wie entfernen, wie entfernen?, wirklich



Ähnliche Themen: TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen?


  1. Trojanisches Pferd TR/Crypt.XPACK.Gen3 gefunden ... Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 07.04.2013 (11)
  2. TR/Crypt.XPACK.Gen3 Trojaner gefunden!
    Log-Analyse und Auswertung - 26.06.2011 (1)
  3. TR/Crypt.Xpack.Gen3 gefunden :((((
    Log-Analyse und Auswertung - 23.05.2011 (2)
  4. TR/Crypt.Xpack.Gen3 gefunden
    Mülltonne - 23.05.2011 (1)
  5. TR/Crypt.XPACK.Gen3 auf Rechner zwei mal gefunden.
    Plagegeister aller Art und deren Bekämpfung - 11.04.2011 (25)
  6. Antivir hat die Trojaner Tiny.psa, Dropper.Gen und Crypt.XPACK.Gen3 gefunden
    Plagegeister aller Art und deren Bekämpfung - 01.03.2011 (3)
  7. Antir hat Trojaner TR/Crypt.XPACK.Gen3 in C:\System Volume Information ... gefunden!
    Log-Analyse und Auswertung - 28.02.2011 (1)
  8. TR/Crypt.XPACK.Gen3 in C:\Dokumente und Einstellungen\***\Desktop\FLVTube.exe gefunden - Hilfe
    Plagegeister aller Art und deren Bekämpfung - 24.01.2011 (15)
  9. Win32.autorun.tmp und TR/Crypt.XPACK.Gen3 gefunden - wie entfernen?
    Plagegeister aller Art und deren Bekämpfung - 07.12.2010 (46)
  10. W32/Induc.A, TR/Dropper.Gen, TR/Crypt.ZPACK.Gen, TR/Crypt.XPACK.Gen3 gefunden - wie entfernen
    Plagegeister aller Art und deren Bekämpfung - 01.12.2010 (5)
  11. TR/Crypt.XPACK.Gen3 von Avira Guard gefunden
    Plagegeister aller Art und deren Bekämpfung - 19.11.2010 (9)
  12. TR/Crypt.XPACK.Gen3 in DLL Datei gefunden
    Plagegeister aller Art und deren Bekämpfung - 29.10.2010 (2)
  13. TR/Crypt.XPACK.Gen3 entfernen
    Plagegeister aller Art und deren Bekämpfung - 17.10.2010 (17)
  14. TR/Crypt.XPACK.Gen3 - nach formatierung von C: TR/Crypt.XPACK.Gen2 gefunden
    Plagegeister aller Art und deren Bekämpfung - 17.10.2010 (9)
  15. TR/Crypt.xpack.gen3 -gefunden
    Plagegeister aller Art und deren Bekämpfung - 12.10.2010 (28)
  16. TR/Crypt.XPACK.Gen3 gefunden und fremder Zugriff auf Passwörter
    Plagegeister aller Art und deren Bekämpfung - 12.10.2010 (3)
  17. Trojaner TR/Dldr.Small.aulw und TR/Crypt.XPACK.Gen2 + Gen3 gefunden
    Plagegeister aller Art und deren Bekämpfung - 26.09.2010 (15)

Zum Thema TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen? - Hallo, Avira AntiVir meldet mir den Trojaner TR/Crypt.XPACK.Gen3 in C:\Programme\Norton AntiVirus\Savrt\0066NAV~.TMP . Ich habe die Datei in die Quarantäne gesteckt, bin mir aber nicht sicher, ob das Problem damit wirklich - TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen?...
Archiv
Du betrachtest: TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.