Trojaner TR/Crypt.XPACK.Gen
 

Hallo zusammen
ich habe gestern eine meldung von antivir bekommen das TR/Crypt.XPACK.Gen gefunden wurde.
Ich habe auf "Zugriff verweigern" geklickt und trotzdem kahm wenige Minuten später in der Taskleiste eine Meldung "your pc is infected" und auf meinem desktop erschien eine Antivirus Pro Datei:confused:
Ich habe Antivir schon 3 mal durchlaufen lassen und es wurde nix gefunden!
Die Meldung in der Taskleite kommt allerdings immer noch fast alle 10 sekunden, internetseiten werden extrem langsam oder einfach gar nicht geladen.
Kann mir jemand weiter helfen??

Hallo und :hallo:

Bitte bei Meldungen zu Viren immer die genauen Schädlingsnamen und Pfadangaben notieren und hier posten!

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Erstmal Danke für deine Antwort!
Ich habe alles gemacht was du gesagt hast!
Malwarebytes hat auch was gefunden und gelöscht.
Die Meldung `your pc is infected`in der Taskleiste kommt nicht mehr. Auch das Internet läd wieder wie vorher.
Habe nachdem ich die 3 Punkte abgearbeitet habe nochmal Antivir durchlaufen lassen und es ergab trotzdem 4 Funde.
Den Antivir-Bericht habe ich ebenfalls mal in den Ordner gepackt.

h**p://www.file-upload.net/download-1943447/log.rar.html

Gruß Dennis

Da waren doch einiges bei, mach mal bitte einen Durchlauf mit Combofix:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

soo
am anfang kahm eine meldung das antivir noch aktiv ist obwohl ich es deaktiviert hatte. das regenschirmsymbol war auch zu. ich habe bei allen benutzerkonten nachgeschaut überall war der schirm geschlossen und antivir deaktiviert.
Hier der Bericht :
ComboFix 09-10-13.01 - Dennis 13.10.2009 20:52.1.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1023.753 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Dennis\Desktop\confi.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Outdated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Outdated) {804E5358-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E58E8-FFA4-00DA-0D24-347CA8A3377C}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Internet\Anwendungsdaten\AD ON Multimedia
c:\dokumente und einstellungen\Internet\Anwendungsdaten\AD ON Multimedia\eBay Shortcuts\config.ini
c:\dokumente und einstellungen\Internet\Anwendungsdaten\seres.exe
c:\dokumente und einstellungen\Internet\Anwendungsdaten\svcst.exe

.
((((((((((((((((((((((( Dateien erstellt von 2009-09-13 bis 2009-10-13 ))))))))))))))))))))))))))))))
.

2009-10-13 14:34 . 2009-10-13 14:34 -------- d-----w- C:\rsit
2009-10-12 19:20 . 2009-10-12 19:20 -------- d-----w- c:\dokumente und einstellungen\Internet\Anwendungsdaten\Malwarebytes
2009-10-12 19:03 . 2009-10-12 19:03 -------- d-----w- c:\dokumente und einstellungen\Internet\Anwendungsdaten\Yahoo!
2009-10-12 19:00 . 2009-10-12 19:00 -------- d-----w- c:\dokumente und einstellungen\Dennis\Anwendungsdaten\Malwarebytes
2009-10-12 19:00 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-12 18:59 . 2009-10-12 18:59 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-10-12 18:59 . 2009-10-12 19:00 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-10-12 18:59 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-10-12 18:58 . 2009-10-12 18:58 -------- d-----w- c:\dokumente und einstellungen\Dennis\Anwendungsdaten\Yahoo!
2009-10-12 18:58 . 2009-10-12 19:22 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2009-10-12 18:58 . 2009-10-12 18:59 -------- d-----w- c:\programme\Yahoo!
2009-10-12 18:58 . 2009-10-12 18:59 -------- d-----w- c:\programme\CCleaner
2009-10-11 19:08 . 2009-10-11 19:08 -------- d-----w- c:\programme\Trend Micro
2009-09-20 09:14 . 2009-09-20 09:14 -------- d-----w- c:\programme\Windows Media Connect 2
2009-09-20 09:11 . 2009-09-20 09:12 -------- d-----w- c:\windows\system32\drivers\UMDF
2009-09-20 09:11 . 2009-09-20 09:11 -------- d-----w- c:\windows\system32\LogFiles
2009-09-20 08:55 . 2009-10-13 18:46 -------- d-----w- c:\dokumente und einstellungen\Internet\Tracing
2009-09-20 08:51 . 2009-09-20 08:51 -------- d-----w- c:\programme\Microsoft
2009-09-20 08:51 . 2009-09-20 08:51 -------- d-----w- c:\programme\Windows Live SkyDrive
2009-09-20 08:44 . 2009-09-20 08:44 -------- d-----w- c:\programme\Gemeinsame Dateien\Windows Live

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-13 18:46 . 2006-12-29 11:10 -------- d-----w- c:\dokumente und einstellungen\Ralf\Anwendungsdaten\OpenOffice.org2
2009-10-13 18:41 . 2008-12-19 21:41 -------- d-----w- c:\dokumente und einstellungen\Dennis\Anwendungsdaten\HPAppData
2009-10-13 18:25 . 2008-12-19 21:46 -------- d-----w- c:\dokumente und einstellungen\Dennis\Anwendungsdaten\OpenOffice.org2
2009-10-13 18:13 . 2008-12-04 11:31 -------- d-----w- c:\dokumente und einstellungen\Internet\Anwendungsdaten\HPAppData
2009-10-12 15:18 . 2008-01-26 12:20 -------- d-----w- c:\dokumente und einstellungen\Internet\Anwendungsdaten\OpenOffice.org2
2009-10-08 17:13 . 2008-03-20 13:40 16824 ----a-w- c:\dokumente und einstellungen\Internet\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-09-20 09:07 . 2006-12-30 09:12 16824 ----a-w- c:\dokumente und einstellungen\Dennis\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-09-20 08:50 . 2008-06-25 16:35 -------- d-----w- c:\programme\Windows Live
2009-09-16 15:47 . 2008-12-24 16:26 -------- d-----w- c:\programme\VirtualDJ
2009-09-11 16:57 . 2008-01-20 13:03 -------- d-----w- c:\dokumente und einstellungen\Internet\Anwendungsdaten\LimeWire
2009-09-02 18:27 . 2008-04-16 16:46 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-09-02 18:27 . 2008-04-16 16:45 -------- d-----w- c:\programme\DVDVideoSoft
2009-08-30 19:04 . 2009-08-30 18:52 -------- d-----w- c:\programme\VstPlugins
2009-08-30 19:04 . 2009-08-30 18:48 -------- d-----w- c:\programme\Image-Line
2009-08-30 18:54 . 2009-08-30 18:54 -------- d-----w- c:\programme\ASIO4ALL v2
2009-08-05 08:59 . 2001-08-18 12:00 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-26 14:44 . 2009-07-26 14:44 48448 ----a-w- c:\windows\system32\sirenacm.dll
2009-07-17 19:01 . 2001-08-18 12:00 58880 ----a-w- c:\windows\system32\atl.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"defNULLspam"="c:\programme\defNULLspam\defnullspam.exe" [2006-12-23 196608]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-03-01 172792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 32768]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 83608]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2008-03-25 49152]
"hpqSRMon"="c:\programme\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-03-13 81920]
"C-Media Mixer"="Mixer.exe" - c:\windows\mixer.exe [2002-03-25 1228800]
"WinDSL MTU-Adjust"="WinDSL_MTU.exe" - c:\windows\system32\WinDSL_MTU.exe [2001-02-15 65536]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
"defNULLspam"="c:\programme\defNULLspam\defnullspam.exe" [2006-12-23 196608]

c:\dokumente und einstellungen\Ralf\Startmen�\Programme\Autostart\
OpenOffice.org 2.0.lnk - c:\programme\OpenOffice.org 2.0\program\quickstart.exe [2006-1-25 61440]

c:\dokumente und einstellungen\Kevin\Startmen�\Programme\Autostart\
OpenOffice.org 2.0.lnk - c:\programme\OpenOffice.org 2.0\program\quickstart.exe [2006-1-25 61440]

c:\dokumente und einstellungen\Dennis\Startmen�\Programme\Autostart\
OpenOffice.org 2.0.lnk - c:\programme\OpenOffice.org 2.0\program\quickstart.exe [2006-1-25 61440]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2008-3-25 214360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\LimeWire\\LimeWire.exe"=
"c:\\WINDOWS\\system32\\LEXPPS.EXE"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqpsapp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqpse.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqsudi.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\Lager\\hpiscnapp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\Lager\\hpqkygrp.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [15.07.2009 17:56 222456]
R3 ham50;V9X HAM 1394V;c:\windows\system32\drivers\CTXH51.sys [29.12.2006 10:48 471407]
R3 WinDSLa;WinDSL-Adapter (PPP-over-Ethernet);c:\windows\system32\drivers\WinDSL.sys [08.02.2002 05:34 47056]
S3 WinDSLp;%WinDSLp_Desc%;c:\windows\system32\drivers\WinDSL.sys [08.02.2002 05:34 47056]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
uInternet Connection Wizard,ShellNext = hxxp://www.internetcologne.de/
IE: Save YouTube Video - c:\programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP4.htm
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

AddRemove-ShockwaveFlash - c:\windows\system32\Macromed\Flash\UninstFl.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-13 21:02
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(552)
c:\windows\system32\COMRes.dll
.
Zeit der Fertigstellung: 2009-10-13 21:05
ComboFix-quarantined-files.txt 2009-10-13 19:04

Vor Suchlauf: 7 Verzeichnis(se), 21.684.871.168 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 22.033.080.320 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

159 --- E O F --- 2009-09-20 20:48