|
Plagegeister aller Art und deren Bekämpfung: ebenfalls TR/Crypt.XPACK.Gen und Co.Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
19.05.2008, 17:27 | #1 | |
| ebenfalls TR/Crypt.XPACK.Gen und Co. Hallo zusammen, ich hab seid ein paar Tagen auch das "Vergnügen", dass mir AntiVir TR/Crypt.XPACK.Gen meldet (manchmal auch Privacy.A) und ich den Trojaner bis jetzt nicht wegbekommen hab. Spätestens bei jedem Neustart ist er wieder da (grundsätzlich irgendwo in C:\WINNT\system32 und manchmal auch in Dokumente und Einstellungen bei den Temporary Internet Files). Formatieren hat leider gar nichts gebracht, da ich das Ding innerhalb kürzester Zeit, in der ich die aktuellen Sicherheitspatches gezogen und installiert hab, gleich wieder drauf hatte. Adaware, Spydoctor und Spy Search & Destroy haben zwar auch alle was gefunden jeweils, könnten die infizierten Dateien aber auch nie dauerhaft löschen, bei jedem Neustart ist der Trojaner wieder da. Mein HJT-Log sieht momentan nach einem Neustart so aus: Zitat:
Hoffe, dass von euch vielleicht noch jemand einen Tipp für mich hat, der mich weiterbringt. Vielen Dank schon mal für eure Mühe! |
19.05.2008, 17:43 | #2 | |
| ebenfalls TR/Crypt.XPACK.Gen und Co. Hallo
__________________mach bitte mal alle versteckten Dateien und Ordner sichtbar. Dann lass bitte diese Datei Zitat:
hier Virustotal, hier virscan.org oder hier Jotti überprüfen (kann einige Minuten dauern), poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, bitte auch wenn nichts gefunden wurde. MFG
__________________ |
19.05.2008, 19:43 | #3 | ||
| ebenfalls TR/Crypt.XPACK.Gen und Co. Ich fürchte oben mein Log war schon durch AntiVir etwas beeinflusst, nach Neustart und kurzzeitigem Abschalten von AntiVir sieht der Log komplett nämlich so aus:
__________________Zitat:
spooIsv.exe find ich nicht, selbst wenn ich die versteckten Dateien und Ordner anzeigen lasse, befindet sich dort nur die normale spoolsv.exe. Was mir allerdings beim Umstellen der Sichtbarkeit versteckter Dateien und Ordner aufgefallen ist: Da steht nicht mehr wie früher "Versteckte Dateien und Ordner anzeigen" zur Auswahl sondern HIDDEN, wo man dann zwischen "nohidden" und "showall" wählen kann. Weiter unten gibts dann noch mal die Option "Superhidden", welche ich auch deaktivieren musste, um noch mehr versteckte Dateien anzuzeigen. Ist das normal, dass das plötzlich englisch ist zum Teil? Früher waren die Einstellungen jedenfalls mal komplett deutsch. Aktuell springt AntiVir übrigens auf die Datei C:\WINNT\system32\ljJDUkjh.dll an. Edit Falls es was bringt, hier die Ergebnisse von der ljJDUkjh.dll: Zitat:
File size: 371712 bytes MD5...: 87cbc86383c97c3f1eef4bd2fab5cd55 SHA1..: 1617f7618947b718c94ba3e2d5c5a1089b2ea4a2 Geändert von nowhere (19.05.2008 um 19:53 Uhr) |
19.05.2008, 20:52 | #4 | |
| ebenfalls TR/Crypt.XPACK.Gen und Co. Hallo Zitat:
erstelle bitte mal ein Log mit der Filelist Filelist 1. Lade das filelist.zip auf deinen Desktop herunter. 2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei 3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen 4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein. Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen: Verzeichnis von C:\ Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\Prefetch (Windows XP) Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\WINDOWS\Temp Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp Lass bitte auch Silentrunners dein System überprüfen Silentrunners Logfile -Lade dir das Tool -> Silentrunners -Entpacke das Script in einen Ordner deiner Wahl -Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen -System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt (Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“ erstellen, ignoriere dieses und arbeite weiter!) -Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein. (Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen) MFG
__________________ Kein Support per PN - Bitte im Forum posten. Wenn du das Forum unterstützen möchtest Genitiv ins Wasser, weil es dativ ist http://www.vivaconagua.org/ |
19.05.2008, 23:59 | #5 | ||||||
| ebenfalls TR/Crypt.XPACK.Gen und Co.Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Ergiebiger sind die letzten 30 Tage nicht, da ich am Wochenende gerade erst formatiert hatte in der Hoffnung den Trojaner anschließend nicht gleich wieder draufzubekommen. |
20.05.2008, 00:03 | #6 | |
| ebenfalls TR/Crypt.XPACK.Gen und Co. Silent Runners gibt folgenden Log aus: Zitat:
|
20.05.2008, 16:13 | #7 | |||
| ebenfalls TR/Crypt.XPACK.Gen und Co. Hallo ich habe mich nochmal auf die Suche gemacht wegen Zitat:
Worm/IRCBot.381952 - Vollstndig Zitat:
Zitat:
Ändere unbedingt von einem sauberen Rechner oder nach der Neuinstallation alle deine Pass- und Kennwörter. MFG
__________________ Kein Support per PN - Bitte im Forum posten. Wenn du das Forum unterstützen möchtest Genitiv ins Wasser, weil es dativ ist http://www.vivaconagua.org/ |
20.05.2008, 19:55 | #8 | |
| ebenfalls TR/Crypt.XPACK.Gen und Co.Zitat:
(Oder ich dir. ) |
20.05.2008, 21:00 | #9 | |
| ebenfalls TR/Crypt.XPACK.Gen und Co. Hallo Zitat:
Scanne vor dem verwenden deiner Sicherungen die Datenträger mit einem aktuellem Antivirenprogramm. MFG
__________________ Kein Support per PN - Bitte im Forum posten. Wenn du das Forum unterstützen möchtest Genitiv ins Wasser, weil es dativ ist http://www.vivaconagua.org/ |
23.05.2008, 13:49 | #10 |
| ebenfalls TR/Crypt.XPACK.Gen und Co. Ging wider Erwarten gut, auch wenn ich immer noch nicht so recht weiß wie die Viren auf den Rechner gekommen sind; die wenigen Sachen, die ich mir gesichert hatte, waren zumindest laut AntiVir sauber. Hab formatiert und noch bevor ich die Updates alle drauf hatte, hatte ich wieder einen Virus drauf, der sich zum Glück aber mit AntiVir beseitigen ließ. Wenn man dem Erstlldatum des Ordners glauben kann, passierte die Infizierung wieder während der Updates vom System. Jedenfalls läuft jetzt wieder alles korrekt, danke nochmal! |
Themen zu ebenfalls TR/Crypt.XPACK.Gen und Co. |
1.exe, antivir, avira, bho, desktop, dll, einstellungen, explorer, hijack, hijackthis, infizierte, internet, internet explorer, logfile, löschen, microsoft, neustart, nvidia, programme, rundll, software, spooler subsystem app, system, t-online, tan, tr/crypt.xpack.ge, tr/crypt.xpack.gen, trojaner, vielen dank, windows |