neuer PC - 3 Trojaner - TR/Crypt.XPACK.Gen
 

Hallo liebe Trojaner Experten,

ich kann es nicht fassen, habe meine neuen PC jetzt einen Monat am laufen, hab mir extra einige "Sicherheits"-Programme installiert und heute wurden mir 3 Trojaner gemeldet.

Avira Antivir meldet mir:
A0010468.exe----TR/Crypt.XPACK.Gen
A0010469.exe----TR/Downloader.Gen
A0010470.exe----TR/Crypt.XPACK.Gen
3 Dateien wurden in die Quarantäne verschoben

auch klicken auf alles reparieren und erneutem Suchlauf wieder der gleiche Fund.

PC Tools Spyware Doctor zeigte plötzlich bestimmt 10 rote Kästchen ann wo vor Trojanern gewarnt wurde...Hatte dort die Möglichkeit zu Blockieren, bei erneutem Suchlauf wurde nix mehr gefunden, aber Antivir findet sie ja noch.

nach lesen in diesem forum habe ich eine hijack log erstellt, hoffe jmd kann damit was anfangen bzw mir helfen.

kurze frage noch: könnte mir ein Wiederherstellungspunkt behilflich sein?

vielen dank
mfg

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:56:05, on 05.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
H:\WINXP\System32\smss.exe
H:\WINXP\system32\csrss.exe
H:\WINXP\system32\winlogon.exe
H:\WINXP\system32\services.exe
H:\WINXP\system32\lsass.exe
H:\WINXP\system32\Ati2evxx.exe
H:\WINXP\system32\svchost.exe
H:\WINXP\system32\svchost.exe
H:\WINXP\System32\svchost.exe
H:\WINXP\system32\svchost.exe
H:\WINXP\system32\svchost.exe
H:\WINXP\system32\spoolsv.exe
H:\WINXP\system32\Ati2evxx.exe
H:\WINXP\system32\acs.exe
H:\Programme\Avira\AntiVir Desktop\sched.exe
H:\Programme\Avira\AntiVir Desktop\avguard.exe
H:\WINXP\Explorer.EXE
H:\Programme\Gigabyte\EasySaver\ESSVR.EXE
H:\Programme\ICQ6Toolbar\ICQ Service.exe
H:\Programme\Java\jre6\bin\jqs.exe
H:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
H:\Programme\CDBurnerXP\NMSAccessU.exe
H:\Programme\Spyware Doctor\pctsAuxs.exe
H:\Programme\Spyware Doctor\pctsSvc.exe
H:\WINXP\system32\svchost.exe
H:\Programme\Spyware Doctor\pctsTray.exe
H:\Programme\Avira\AntiVir Desktop\avgnt.exe
H:\WINXP\System32\TUProgSt.exe
H:\WINXP\RTHDCPL.EXE
H:\Programme\TP-LINK\TL-WN821N\TWCU.exe
H:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
H:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
H:\WINXP\system32\ctfmon.exe
H:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
H:\Programme\OpenOffice.org 3\program\soffice.exe
H:\Programme\OpenOffice.org 3\program\soffice.bin
H:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
H:\WINXP\system32\wbem\wmiprvse.exe
H:\WINXP\system32\wbem\wmiapsrv.exe
H:\WINXP\System32\alg.exe
H:\Programme\Ahead\Nero ShowTime\ShowTime.exe
H:\Programme\GIGABYTE\EasySaver\eslite.exe
H:\Programme\Spyware Doctor\pctsGui.exe
H:\Programme\ICQ6.5\ICQ.exe
H:\Programme\Mozilla Firefox\firefox.exe
H:\Programme\Adobe\Reader 9.0\Reader\AcroRd32.exe
H:\Programme\Avira\AntiVir Desktop\avscan.exe
H:\Programme\AMD\AMD Power Monitor\AMD Power Monitor.exe
H:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R3 - URLSearchHook: DeviceVM Url Search Hook - {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - H:\WINXP\system32\dvmurl.dll
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - H:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - H:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - H:\Programme\BitComet\tools\BitCometBHO_1.3.7.16.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - H:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - H:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - H:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [avgnt] "H:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [TWCU] H:\Programme\TP-LINK\TL-WN821N\TWCU.exe -nogui
O4 - HKLM\..\Run: [StartCCC] "H:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [CloneCDTray] "H:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [ISTray] "H:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] H:\WINXP\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.1.lnk = H:\Programme\OpenOffice.org 3\program\quickstart.exe
O8 - Extra context menu item: &Alles mit BitComet herunterladen - res://H:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Alle &Filme mit BitComet herunterladen - res://H:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Mit BitComet herunter&laden - res://H:\Programme\BitComet\BitComet.exe/AddLink.htm
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://H:\Programme\BitComet\tools\BitCometBHO_1.3.7.16.dll/206 (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - H:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - H:\Programme\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O23 - Service: TP-LINK Configuration Service (ACS) - Atheros - H:\WINXP\system32\acs.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - H:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - H:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - H:\WINXP\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - H:\WINXP\system32\ati2sgag.exe
O23 - Service: ES lite Service for program management. (ES lite Service) - Unknown owner - H:\Programme\Gigabyte\EasySaver\ESSVR.EXE
O23 - Service: ICQ Service - Unknown owner - H:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - H:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - H:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NMSAccessU - Unknown owner - H:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - H:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - H:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - H:\WINXP\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - H:\WINXP\System32\TUProgSt.exe
O23 - Service: Vodafone Mobile Connect Service (VMCService) - Vodafone - H:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe

--
End of file - 7701 bytes

Hallo und Herzlich Willkommen! :)

- Wenn der Zeitpunkt der Infizierung bekannt, ja, aber auch nur ein Notlösung, dabei sollte es nicht bleiben!

- Ein wenig "Schönheitskorrektur" soll man ja machen:

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org

• Installieren und per Doppelklick starten.
• Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
• "Komplett Scan durchführen" wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• alle Funde markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Malwarebytes Anti-Malware

2.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten):
3.
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner xxxx Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
- reinige dein System mit Ccleaner:

• "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

4.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

5.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

6.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

7.
poste erneut:
Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

gruß
Coverflow