Warum bekomme ich dann immer wieder CryptXPACK.gen auf den Rechner? Der Pfad ist der gleiche!

Noch mal was ganz anderes, weiß jemand woher sich Thunderbird die Uhrzeit holt die für eingehnde Mails angezeigt wird? Die unterscheidet sich bei mir um zwei Stunden von der realen Zeit.

Weil du irgend etwas Trojaner-artiges, Verschlüsseltes auf dem Rechner hast. Um dich nicht misszuverstehen: "Crypt.XPACK.gen" findet AntiVir ebenfalls in der ominösen, nicht aufzufindenden .exe?
Als vorläufig letzte Idee schlage ich dir einen eScan vor. Er ist zeitaufwändig; bitte beachte darum die Anleitung, die du hier in den FAQ findest, genau.

Hallo,

gehe auf Start->Ausführen->cmd

Führe dort folgende Befehle aus (Achtung, wenn eine Zeile bestätigt wird kann sie nicht mehr einfach korrigiert werden):

cd\
copy con del.bat
@echo off
cd\ >Nul
cd windows\system32 >Nul
attrib -h -r -s -a .exe >Nul
if not exist c:\windows\system32\.exe goto LOG
echo "Datei exstiert" >>c:\log.txt
del .exe
echo "Datei geloescht" >>c:\log.txt
GOTO END
:LOG
echo "Datei existiert nicht" >>c:\log.txt
:END

und jetzt mit "Strg+Z" abschließen

Ok, nun regedit ausführen, und unter
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Einen neuen Schlüssel system erstellen (wenn nicht schon vorhanden) und als Wert c:\del.bat eingeben

führe jetzt einen Neustart aus und poste die logdatei c:\log.txt

Gruß
Oskar

Danke erst noch einmal für eure Hilfe!

eScan werde ich mir heute am abend runterladen,da sonst meine analoge Leitung stundenlang blockiert ist!

Oscar: Kann es sein, dass in deinen angegebenen Befehlen etwas fehlt? Ich habe das Gefühl das ich das nur reinschreibe,es kommt aber keine Rückmeldung!
Eine logdatei wurde auch nicht erstellt.
????

Oskar, nur zu meinem besseren Verständnis: Was versprichst du dir davon, eine Datei zu löschen, die offenbar im Zusammenhang mit einem Backdoor-Trojaner steht?
Estpit, mach dich bitte schon mal mit dem Gedanken vertraut, Windows neu aufzusetzen. Es ist zwar noch nicht gelungen, den Backdoor-Trojaner zu lokalisieren, aber die Symptome, die du beschrieben hast, passen imho zu "gut", als dass man einen Fehlalarm von AntiVir in Betracht ziehen könnte.
Ich erwähne das, weil ein eScan viel Zeit und Konzentration erfordert. Er kann aber dein Problem nicht lösen, sondern nur besser eingrenzen (wobei... das wäre es ja wert).

Hallo,

@Franz: Da die Datei so nicht gefunden wird, könnte es ja sein, daß sie bei winlogon gefunden wird. Aber ich merke, daß ich mit meiner Aktion den einen oder anderen user vielleicht zuviel zumute :rolleyes:


@estpit: Du solltest dich mit dem Rat von Franz, das System neu aufzusetzen anfeunden. Möglicherweise sind bei dir Kernel-Funktionen umgeleitet worden.
Für die Neuinstallation findest du hier interessante Tipps:
http://www.trojaner-board.de/12154-anleitung-neuaufsetzen-des-systems-und-anschliessende-absicherung.html

Gruß
Oskar

Hallo mal wieder,
ich habe jetzt genau nach Anleitung mit eScan gescannt und es wurde auch etwas gefunden. Soll ich die Log-Datei hier posten ?? Die ist ziemlich lang!!

Hallo,

nein, das Stichwort heißt "find.bat".
Näheres kannst du hier nachlesen:
http://www.trojaner-board.de/17492-anleitung-escan-antivirus-unterstuetzt-aeltere-versionen-bis-7-x.html

Gruß
Oskar

Ach soo! Danke Oskar

Also das hier:

Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Sun Mar 18 16:59:04 2007 => Version 9.1.7 (C:\DOKUME~1\PITTIU~1\LOKALE~1\Temp\mexe.com)
Sun Mar 18 13:36:44 2007 => Virus Database Date: 3/16/2007
Sun Mar 18 13:54:15 2007 => Virus Database Date: 3/16/2007
Sun Mar 18 16:51:42 2007 => Virus Database Date: 3/16/2007
Sun Mar 18 16:55:50 2007 => Virus Database Date: 3/16/2007
Sun Mar 18 16:59:08 2007 => Virus Database Date: 3/16/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Mar 18 13:55:58 2007 => System found infected with spylax Corrupted Adware/Spyware (C:\WINDOWS\unvise32.exe)! Action taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Sun Mar 18 15:28:17 2007 => File {} infected by "Email-Worm.Win32.Zhelatin.k" Virus! Action Taken: No Action Taken.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Sun Mar 18 13:55:58 2007 => Offending file found: C:\WINDOWS\unvise32.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Sun Mar 18 13:55:49 2007 => Offending Key found: HKLM\System\CurrentControlSet\Services\iprip !!!
Sun Mar 18 13:55:49 2007 => Offending Key found: HKLM\System\ControlSet001\Services\iprip !!!
Sun Mar 18 13:55:49 2007 => Offending Key found: HKLM\System\ControlSet003\Services\iprip !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Hallo estpit,
was heißt "File {}"? Schau mal bitte im "eigentlichen" eScan-Log nach, ob du etwas darüber findest, wo die infizierte Datei ist (im \system32-Ordner?).
Das Log sollte sich hier befinden: C:\bases_x\mwav.log

my two cents:

zu "HKLM\System\CurrentControlSet\Services\iprip" meint Sophos Backdoor

zur ".exe", falls es dich noch interessiert, könnte man es mit Darkspy oder Icesword (links siehe google) versuchen, keine Ahnung obs hinhaut (Datei lokalisieren, kopieren, umbenennen, bei Virustotal auswerten). Eine andere Möglichlichkeit wäre noch das Suchen/Scannen mittels LiveCD wie knoppix. Gruß

Achja, Anleitung zum Neuaufsetzen findest du bei den faq.

Das sind dann wohl die 2 Cent, die den Euro voll machen. Weiter zu versuchen, die Backdoor ausfindig zu machen, hat dann keinen Sinn mehr.
In diesem Fall:
- Backdoor-Verdacht in einer nicht zu fassenden .exe-Datei
- offenbar durch eine Backdoor verursachter Registry-Eintrag
- ein weiterer Trojaner, möglicherweise in den vergangenen Tagen erst dazu gekommen
kann ich dir nur den Rat geben, dein System neu aufzusetzen. Bitte halte dich dabei an Cidres Anleitung, die, wie ordell schon gesagt hat, in den FAQ zu finden ist.