Antivir schlägt Alarm- Trojaner TR/Crypt.XPACK.Gen?

Hador · 10.07.2008, 23:31

MEin Antivir geht mir seit geraumer Zeit auf die Nerven, wegen einem Trojaner. Genauer gesagt lt. Antivir das Trojanische Pferd TR/Crypt.XPACK.Gen. Ich wäre sehr dankbar, wenn es eine Variante gäbe, die nicht auf eine Windows-Neuinstallation hinausläuft.

Hier das HiJackThis-Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:29:27, on 11.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
D:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Programme\DAEMON Tools Pro\DTProAgent.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
E:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
D:\Programme\Last.fm\LastFM.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~3\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [a8f17391] rundll32.exe "C:\WINDOWS\system32\fokwhwau.dll",b
O4 - HKLM\..\Run: [BMabc2400d] Rundll32.exe "C:\WINDOWS\system32\lccjsuar.dll",s
O4 - HKCU\..\Run: [Herr der Ringe] F:\\Herr der Ringe.m3u
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "D:\Programme\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKCU\..\Run: [AlcoholAutomount] "E:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &D&ownload &with BitComet - res://D:\Programme\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://D:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://D:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://D:\Programme\BitComet\tools\BitCometBHO_1.2.1.2.dll/206 (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: WEB.DE Firefox Update (AdminSVCff) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - D:\Programme\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Programme\Sygate\SPF\smc.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - E:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 8782 bytes

Ich hoffe ihr könnt mir Helfen. Vielen Dank im Vorraus.

BataAlexander · 10.07.2008, 23:40

Arbeite die Schritte in folgender Reihenfolge ab.

1. Smitfraudfix

Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
- Boote im abgesicherten Modus
- Starte es dann und lass das System Reinigen. (Option 2)
- es fragt Dich nach kurzer Zeit "Do you want to clean the registry?", dies mit "y" bejahen
- nach dem erfolgreichen Durchlauf öffnet es ein Notepad Fenster mit der rapport.txt
- Im Hintergrund muss smitfraudfix.exe noch mit "Q" beendet werden
- Nach diesem Durchlauf wird ggf. Dein Hintergrundbild verschwunden sein.

-Poste danach den Inhalt der Datei C:\rapport.txt
- Wenn auf dem Rechner XP Antispy mit den Standard Einstellungen benutzt wurde, läuft Smitfraudfix ggf. nicht richtig.
- Dein Desktophintergrund ist nach dem Vorgang eventuell gelöscht.

2. Malwarebytes

Lasse Malwarebytes wie beschrieben laufen und poste das Logfile hier

3. Logs posten

Poste die folgenden Logs hier

- Smitfraudfix
- Malwarebytes
- Neues HijackThis log (Links editieren)

Hador · 11.07.2008, 08:30

1. C:\rapport.txt

Zitat:

SmitFraudFix v2.329

Scan done at 8:19:18,51, 11.07.2008
Run from E:\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{C035938E-C931-4054-95AD-A36E407FC4E4}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C035938E-C931-4054-95AD-A36E407FC4E4}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{C035938E-C931-4054-95AD-A36E407FC4E4}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

2.Malwarebytes-LOG:

Zitat:

Malwarebytes' Anti-Malware 1.20
Datenbank Version: 938
Windows 5.1.2600 Service Pack 2

09:20:05 11.07.2008
mbam-log-7-11-2008 (09-20-05).txt

Scan Art: Komplett Scan (C:\|D:\|E:\|F:\|)
Objekte gescannt: 197124
Scan Dauer: 52 minute(s), 53 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 2
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 2
Infizierte Datei Objekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 12

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\WINDOWS\system32\fokwhwau.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\qoMGYQJY.dll (Trojan.Vundo) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11318347-a1ae-465b-a0fa-8c723f395a9a} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{11318347-a1ae-465b-a0fa-8c723f395a9a} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\a8f17391 (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bmabc2400d (Trojan.Agent) -> Delete on reboot.

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Security Packages (Trojan.Vundo) -> Data: c:\windows\system32\qomgyqjy -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\qomgyqjy -> Delete on reboot.

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\qoMGYQJY.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\YJQYGMoq.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\YJQYGMoq.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\fokwhwau.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\uawhwkof.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
D:\Felix Programme\Schlacht um Mittelerde 1u2 Extras\Patch 1.04+ Crack+ Elvenstarmod 4.0+4.1+4.2\Elvenstar Mod II 4.2.exe (Rogue.Installer) -> Quarantined and deleted successfully.
D:\Programme install\mozilla-1.7.13.de-AT.win32\mozilla\regxpcom.exe (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{0D91A3D3-D52B-4CE5-B024-6E7CF4268150}\RP177\A0113987.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lccjsuar.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\pmnlkLff.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BMabc2400d.xml (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BMabc2400d.txt (Trojan.Vundo) -> Quarantined and deleted successfully.

3. Neues HijackThis-Logfile

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:29:12, on 11.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
D:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\DAEMON Tools Pro\DTProAgent.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\PnkBstrA.exe
E:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
D:\Programme\Last.fm\LastFM.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~3\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKCU\..\Run: [Herr der Ringe] F:\\Herr der Ringe.m3u
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "D:\Programme\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKCU\..\Run: [AlcoholAutomount] "E:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &D&ownload &with BitComet - res://D:\Programme\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://D:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://D:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://D:\Programme\BitComet\tools\BitCometBHO_1.2.1.2.dll/206 (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: WEB.DE Firefox Update (AdminSVCff) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - D:\Programme\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Programme\Sygate\SPF\smc.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - E:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 8005 bytes

BataAlexander · 11.07.2008, 11:19

Folgendes arbeiten wir jetzt ab.

1. Dateien anzeigen

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit einem Packprogramm), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
Credits to Karl83 / KarlKarl

Ist die Datei zu groß, lade sie bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste den Link.

2. Dateien online prüfen lassen

Wenn Dir die Datei F:\\Herr der Ringe.m3u nichts sagt, lass sie bitte bei virustotal prüfen.
* Besuche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

F:\\Herr der Ringe.m3u

3. Posten der Logs

- Filelist
- Eventuell Scanbericht von Virustotal

Hador · 11.07.2008, 11:31

Die "Herr der Ringe"-Datei ist nix anderes als ne Playlist für Winamp, die sich im Autostart befindet und damit mir den Soundtrack der Filme direkt nach dem Hochfahren spielt.

Verzeichnis von C:\

20.07.2008 18:39 5.169.600 asset.dat.bak
11.07.2008 09:22 2.145.386.496 pagefile.sys
11.07.2008 08:20 1.956 rapport.txt
23.03.2008 01:39 102 hcwclear.txt

Verzeichnis von C:\WINDOWS\system32

11.07.2008 12:22 457.535 YJQYGMoq.ini
11.07.2008 12:21 457.201 YJQYGMoq.ini2
11.07.2008 12:10 112.640 cyeenm.dll
11.07.2008 12:10 112.640 acrspvpg.dll
11.07.2008 12:07 1.877.011 kqxpsqbb.ini
11.07.2008 12:07 93.184 bbqspxqk.dll
11.07.2008 12:04 105.984 cwfqklur.dll
11.07.2008 12:02 0 a3d2b7ef-.txt
11.07.2008 09:24 13.646 wpa.dbl
11.07.2008 09:23 0 nmp.log
11.07.2008 08:19 0 tmp.txt
11.07.2008 08:19 3.168 tmp.reg
11.07.2008 00:01 281.088 qoMGYQJY.dll
10.07.2008 20:42 25.088 qoMEULFX.VIR
21.06.2008 15:00 518.656 autoprnt.exe
21.06.2008 15:00 37.888 setupnt.dll
20.06.2008 19:39 247.296 mswsock.dll
20.06.2008 19:39 148.992 dnsapi.dll
20.06.2008 19:18 444.952 wrap_oal.dll
20.06.2008 19:18 109.080 OpenAL32.dll
18.06.2008 20:16 355.584 TuneUpDefragService.exe
18.06.2008 19:52 161.096 DivXCodecVersionChecker.exe
11.06.2008 02:07 524.288 DivXsm.exe
11.06.2008 02:07 4.816 divxsm.tlb
11.06.2008 02:07 10.152 dsm_de.qm
11.06.2008 02:07 3.596.288 qt-dx331.dll
11.06.2008 02:04 1.044.480 libdivx.dll
11.06.2008 02:04 200.704 ssldivx.dll
11.06.2008 02:03 416 dpl100.dll.manifest
11.06.2008 02:03 196.608 dtu100.dll
11.06.2008 02:03 81.920 dpl100.dll
11.06.2008 02:03 416 dtu100.dll.manifest
11.06.2008 02:03 3.051 dtu_de.qm
11.06.2008 02:03 8.523 dpude.qm
11.06.2008 02:03 57.344 dpv11.dll
11.06.2008 02:03 294.912 dpu11.dll
11.06.2008 02:03 344.064 dpus11.dll
11.06.2008 02:03 593.920 dpuGUI11.dll
11.06.2008 02:03 53.248 dpuGUI10.dll
11.06.2008 02:03 294.912 dpu10.dll
11.06.2008 02:03 823.296 divx_xx07.dll
11.06.2008 02:03 815.104 divx_xx0a.dll
11.06.2008 02:03 823.296 divx_xx0c.dll
11.06.2008 02:03 802.816 divx_xx11.dll
11.06.2008 02:03 683.520 DivX.dll
11.06.2008 02:03 630.784 divxdec.ax

Verzeichnis von C:\WINDOWS

11.07.2008 12:20 3.468 BMabc2400d.txt
11.07.2008 12:04 22 pskt.ini
11.07.2008 12:04 0 BMabc2400d.xml
11.07.2008 09:23 0 0.log
11.07.2008 09:23 159 wiadebug.log
11.07.2008 09:23 50 wiaservc.log
11.07.2008 09:22 2.048 bootstat.dat
11.07.2008 09:21 32.612 SchedLgU.Txt
11.07.2008 09:20 1.862.403 WindowsUpdate.log
11.07.2008 08:21 177.262 setupact.log
11.07.2008 08:18 139.406 ntbtlog.txt
10.07.2008 20:25 54.156 QTFont.qfn
10.07.2008 08:21 837.510 iis6.log
10.07.2008 08:21 259.500 comsetup.log
10.07.2008 08:21 155.626 ntdtcsetup.log
10.07.2008 08:21 41.925 ocmsn.log
10.07.2008 08:21 38.572 tabletoc.log
10.07.2008 08:21 1.374 imsins.log
10.07.2008 08:21 348.707 tsoc.log
10.07.2008 08:21 17.520 KB951748.log
10.07.2008 08:21 37.249 msgsocm.log
10.07.2008 08:21 52.486 MedCtrOC.log
10.07.2008 08:21 132.750 netfxocm.log
10.07.2008 08:21 364.652 ocgen.log
10.07.2008 08:21 753.459 FaxSetup.log
10.07.2008 08:21 232.196 msmqinst.log
10.07.2008 08:21 122.265 updspapi.log
09.07.2008 19:22 1.409 QTFont.for
08.07.2008 17:32 344.180 DirectX.log
08.07.2008 02:02 36.436 wmsetup.log
08.07.2008 00:26 116 NeroDigital.ini
29.06.2008 17:45 60.233 setupapi.log
21.06.2008 03:01 1.374 imsins.BAK
21.06.2008 03:01 7.933 KB951376-v2.log
21.06.2008 03:00 23.509 KB950759-IE7.log
20.06.2008 19:18 1.148.627 setupapi.log.0.old
20.06.2008 15:29 15.267 SMinstall.log
20.06.2008 15:28 32.834 Ascd_tmp.ini
11.06.2008 08:43 11.527 KB951698.log
11.06.2008 08:43 8.003 KB950762.log
11.06.2008 08:43 6.221 KB950760.log
11.06.2008 08:43 7.624 KB951376.log
29.05.2008 08:39 11.262 KB932823-v3.log

Verzeichnis von C:\WINDOWS\Prefetch

24.07.2008 14:24 56.778 LASTFM.EXE-36CB1FE2.pf
24.07.2008 14:24 32.638 WMIPRVSE.EXE-28F301A9.pf
24.07.2008 14:24 31.740 IMAPI.EXE-0BF740A4.pf
24.07.2008 14:24 20.250 NSVCIP.EXE-0A55A4A1.pf
24.07.2008 14:24 21.146 NSVCAPPFLT.EXE-213CB0C3.pf
24.07.2008 14:24 22.364 TRUEIMAGETRYSTARTSERVICE.EXE-09DB24E8.pf
24.07.2008 14:24 18.336 SVCHOST.EXE-3530F672.pf
24.07.2008 14:24 17.588 STARWINDSERVICEAE.EXE-3B3419AE.pf
24.07.2008 14:24 13.068 PNKBSTRA.EXE-188A67A9.pf
24.07.2008 14:24 80.126 NSVCLOG.EXE-12517800.pf
24.07.2008 14:24 65.286 APACHE.EXE-0FA6FE02.pf
24.07.2008 14:24 72.378 UPDATE.EXE-3A80F1D2.pf
24.07.2008 14:24 81.110 FIREFOX.EXE-28BE8AE1.pf
24.07.2008 14:24 30.148 AVWSC.EXE-3AC95876.pf
24.07.2008 14:24 17.576 PREUPD.EXE-18CBCD87.pf
24.07.2008 12:11 24.336 WEB_DE_UPDATE.EXE-05D02072.pf
24.07.2008 12:11 14.094 REGSVR32.EXE-25EEFE2F.pf
24.07.2008 11:17 29.328 POWERDVD.EXE-28BB77AA.pf
24.07.2008 11:10 77.998 TRILLIAN.EXE-010283D0.pf
24.07.2008 11:09 23.062 WUAUCLT.EXE-399A8E72.pf
11.07.2008 12:22 11.404 FIND.EXE-0EC32F1E.pf
11.07.2008 12:22 11.234 CMD.EXE-087B4001.pf
11.07.2008 12:21 50.826 WINRAR.EXE-3588DFE8.pf
11.07.2008 12:10 50.538 TRUEIMAGE.EXE-2091914C.pf
11.07.2008 12:10 21.508 RUNDLL32.EXE-33DB96B7.pf
11.07.2008 12:08 58.680 DISKDIRECTOR.EXE-1658549E.pf
11.07.2008 12:07 17.440 RUNDLL32.EXE-3A12C982.pf
11.07.2008 12:04 14.392 RUNDLL32.EXE-129CE557.pf
11.07.2008 11:59 53.336 GUARDGUI.EXE-3AFB6D88.pf
11.07.2008 10:53 66.988 MASSEFFECT.EXE-357D877D.pf
11.07.2008 10:53 71.552 MASSEFFECTLAUNCHER.EXE-35F71642.pf
11.07.2008 09:52 65.130 AVNOTIFY.EXE-0B59FC42.pf
11.07.2008 09:32 46.750 MBAM.EXE-11D8BBD8.pf
11.07.2008 09:29 22.484 NOTEPAD.EXE-336351A9.pf
11.07.2008 09:29 28.530 HIJACKTHIS.EXE-3643707F.pf
11.07.2008 09:24 71.910 WGATRAY.EXE-0ED38BED.pf
11.07.2008 09:24 28.620 RUNDLL32.EXE-2C7E6D44.pf
11.07.2008 09:23 1.269.058 NTOSBOOT-B00DFAAD.pf
11.07.2008 09:20 19.202 LOGONUI.EXE-0AF22957.pf
11.07.2008 09:20 14.898 REGEDIT.EXE-1B606482.pf
11.07.2008 09:09 18.080 VERCLSID.EXE-3667BD89.pf
11.07.2008 08:25 19.752 MBAM-SETUP.TMP-00AECF55.pf
11.07.2008 08:25 20.018 MBAM-SETUP.EXE-285F96E4.pf
11.07.2008 00:31 30.728 TASKMATE.EXE-00C89523.pf
11.07.2008 00:29 19.628 HJTINSTALL.EXE-04A04528.pf
11.07.2008 00:21 18.764 RUNDLL32.EXE-451FC2C0.pf
11.07.2008 00:19 44.138 RUNDLL32.EXE-178DBD69.pf
11.07.2008 00:12 17.516 RUNDLL32.EXE-2B8AD201.pf
11.07.2008 00:09 57.588 RUNDLL32.EXE-13404D23.pf
11.07.2008 00:07 62.248 SHREDDER.EXE-204A6916.pf
11.07.2008 00:05 49.052 RSTRUI.EXE-03C49A96.pf
11.07.2008 00:05 32.794 RUNDLL32.EXE-44A0B4BC.pf
11.07.2008 00:02 17.440 RUNDLL32.EXE-3C72E94B.pf
11.07.2008 00:02 14.404 RUNDLL32.EXE-3D2DA7C6.pf
10.07.2008 23:59 49.496 AVSCAN.EXE-0D0CD933.pf
10.07.2008 23:59 45.082 AVCENTER.EXE-324B1681.pf
10.07.2008 23:58 83.648 CCC.EXE-1B087988.pf
10.07.2008 22:47 77.994 GRID.EXE-27DCB07D.pf
10.07.2008 22:47 68.668 GRIDLAUNCHER.EXE-25F0E0AB.pf
10.07.2008 22:44 16.852 I_VIEW32.EXE-0B6C3BA4.pf
10.07.2008 22:13 43.460 DRWTSN32.EXE-2B4B52AC.pf
10.07.2008 21:57 55.216 SKYPEPM.EXE-03F1BFBD.pf
10.07.2008 21:57 63.956 SKYPE.EXE-21F19BC8.pf
10.07.2008 20:45 62.124 GRIDPATCH2.EXE-05AFC702.pf
10.07.2008 20:44 28.628 RUNDLL32.EXE-1690B842.pf
10.07.2008 20:44 50.494 DWWIN.EXE-30875ADC.pf
10.07.2008 20:43 20.556 TASKMGR.EXE-20256C55.pf
10.07.2008 20:42 10.866 RUNDLL32.EXE-2E84E603.pf
10.07.2008 20:42 16.686 ORZ.EXE-04910723.pf
10.07.2008 20:30 49.468 TEAMSPEAK.EXE-16AE4E70.pf
10.07.2008 20:30 13.896 CMSNXEYE.EXE-10225313.pf
10.07.2008 19:11 14.954 CALC.EXE-02CD573A.pf
10.07.2008 19:01 88.452 LSSRVC.EXE-164808EA.pf
10.07.2008 08:50 578.788 Layout.ini
10.07.2008 08:21 134.684 MSIEXEC.EXE-2F8A8CAE.pf
10.07.2008 08:20 83.142 UPDATE.EXE-22F40BBA.pf
10.07.2008 08:20 19.900 NOTEPAD.EXE-189578DA.pf
09.07.2008 21:12 45.528 TUNEUPDEFRAGSERVICE.EXE-24FF2B48.pf
09.07.2008 21:12 75.538 REGISTRYCLEANER.EXE-1FF36BED.pf
09.07.2008 21:12 54.102 UPDATEWIZARD.EXE-286CC082.pf
09.07.2008 21:12 64.440 ONECLICK.EXE-104FFD0A.pf
09.07.2008 19:23 17.694 DISTNOTED.EXE-39B306B0.pf
09.07.2008 19:23 61.454 APPLEMOBILEDEVICEHELPER.EXE-079D1945.pf
09.07.2008 19:23 91.844 ITUNES.EXE-39AF51BF.pf
09.07.2008 18:11 28.800 RUNDLL32.EXE-25E19D25.pf
09.07.2008 15:16 62.982 ACRORD32.EXE-153330F0.pf
09.07.2008 12:25 19.872 RUNDLL32.EXE-12E27DD0.pf
09.07.2008 11:55 89.928 WINWORD.EXE-0B995611.pf
09.07.2008 11:47 48.088 IPODSERVICE.EXE-233792DA.pf
09.07.2008 10:34 53.116 ADOBEUPDATER.EXE-370FC314.pf
09.07.2008 10:03 58.350 UPDATE.EXE-359FD00D.pf
08.07.2008 20:55 20.948 DLLHOST.EXE-205D880D.pf
08.07.2008 20:55 59.490 SOFTWAREUPDATE.EXE-1E90DF1F.pf
08.07.2008 17:43 9.310 ~E5.0001-18D2840E.pf
08.07.2008 17:43 14.068 LOTRBFME2EP1.EXE-33AC485C.pf
08.07.2008 17:42 34.310 STARTER.EXE-2B55EF76.pf
08.07.2008 17:42 59.796 GAME.DAT-1B1BFC5A.pf
08.07.2008 17:42 28.562 RUNDLL32.EXE-1ADEE887.pf
08.07.2008 17:39 9.988 7ZA.EXE-233B72B2.pf
08.07.2008 17:39 32.774 EDAIN MODIFIKATION 2.1.EXE-085AB9BC.pf
08.07.2008 17:39 52.546 EDAIN MODIFIKATION 2.1.TMP-04606D35.pf
08.07.2008 17:37 21.054 YASU.EXE-10A771D3.pf
08.07.2008 17:35 35.656 EDAINMODV2.0.EXE-350C6AEB.pf
08.07.2008 17:35 57.530 EDAINMODV2.0.TMP-10F0E4FC.pf
08.07.2008 17:35 54.988 LOTRBFME2EP1-131073-GERMAN.EX-1281C460.pf
08.07.2008 17:35 51.484 EDAINMODV2.0.TMP-2002C989.pf
08.07.2008 17:33 24.798 NTVDM.EXE-1A10A423.pf
08.07.2008 17:32 9.862 DXDLLREG.EXE-1E509AAC.pf
08.07.2008 17:31 29.960 EREG.EXE-27B02500.pf
08.07.2008 17:30 8.544 RLD-LOTRROTWKKG.EXE-3B92AACB.pf
08.07.2008 17:30 13.278 THE LORD OF THE RINGS, THE RI-05772D0B.pf
08.07.2008 17:29 28.748 RUNDLL32.EXE-3F21C4C0.pf
08.07.2008 17:29 19.180 AUTORUN.EXE-38A23DFC.pf
08.07.2008 17:29 3.278 THE LORD OF THE RINGS, THE RI-25BE582B.pf
08.07.2008 17:29 15.072 AUTORUN.EXE-2883FE1A.pf
07.07.2008 10:11 79.400 DFRGNTFS.EXE-269967DF.pf
07.07.2008 10:11 16.078 DEFRAG.EXE-273F131E.pf
117 Datei(en) 6.405.428 Bytes
0 Verzeichnis(se), 4.845.789.184 Bytes frei
Beim letzten gings nur bis zum 7.07. mehr gabs da nicht.

Verzeichnis von C:\WINDOWS\tasks

11.07.2008 09:22 6 SA.DAT
08.07.2008 20:55 276 AppleSoftwareUpdate.job
28.02.2006 14:00 65 desktop.ini
3 Datei(en) 347 Bytes
0 Verzeichnis(se), 4.845.780.992 Bytes frei

Verzeichnis von C:\WINDOWS\temp

11.07.2008 09:24 409 WGANotify.settings
11.07.2008 09:22 255 WGAErrLog.txt
2 Datei(en) 664 Bytes
0 Verzeichnis(se), 4.845.780.992 Bytes frei

Verzeichnis von C:\DOKUME~1\Hador\LOKALE~1\Temp

11.07.2008 12:22 130.336 filelist.txt
11.07.2008 09:19 22.368 b120x600.tmp
11.07.2008 09:19 22.368 b120x90.tmp
11.07.2008 09:19 22.368 b125x125.tmp
11.07.2008 09:19 22.368 b160x600.tmp
11.07.2008 09:19 22.368 b180x150.tmp
11.07.2008 09:19 22.368 b234x60.tmp
11.07.2008 09:19 22.368 b240x400.tmp
11.07.2008 09:19 22.368 b250x250.tmp
11.07.2008 09:19 22.368 b300x100.tmp
11.07.2008 09:19 22.368 b300x250.tmp
11.07.2008 09:19 22.368 b336x280.tmp
11.07.2008 09:19 22.368 b468x60.tmp
11.07.2008 09:19 22.368 b720x300.tmp
11.07.2008 09:19 22.368 b728x90.tmp
11.07.2008 09:19 22.368 b120x240.tmp
16 Datei(en) 465.856 Bytes
0 Verzeichnis(se), 4.845.776.896 Bytes frei

Hoffe ich hab das jetzt richtig gemacht, da es bei einigen garnicht 30 Tage zurückging. Wenn was falsch gemacht wurde, dann sry.

BataAlexander · 11.07.2008, 11:51

Ok, das mit der Playlist wollte ich auch hören.

Wollte nur sichergehen das es nichts anderes ist.

Machen wir weiter

1.Datei in den Trojaner-Board Uploader laden

Lade die Datei

C:\WINDOWS\BMabc2400d.txt

bitte hier hoch.

Füge Deinen Thread Link ein, dass ist

http://www.trojaner-board.de/55718-antivir-schlaegt-alarm-trojaner-tr-crypt-xpack-gen.html

und trage Deinen Benutzernamen ein.

2. Dateien bei Virustotal hochladen

Um die Erkennung zu verbessern, lade bitte die folgenden Datei beiVirusTotal - Free Online Virus and Malware Scan hoch. Die Ergebnisse benötigen wir nicht, es sind alles Vundos.

3. Dateien löschen

Reboot(Neustart) im abgesicherten Modus.

Stelle Deinen Rechner wie hier beschrieben ein.
Benutze den Windows Explorer (um dahin zu kommen, mache einen Rechtsklick auf dem Start Button und klicke auf "Explorer"), bitte lösche diese Dateien (wenn vorhanden):

Zitat:

C:\WINDOWS\system32\YJQYGMoq.ini
C:\WINDOWS\system32\YJQYGMoq.ini2
C:\WINDOWS\system32\cyeenm.dll
C:\WINDOWS\system32\acrspvpg.dll
C:\WINDOWS\system32\kqxpsqbb.ini
C:\WINDOWS\system32\bbqspxqk.dll
C:\WINDOWS\system32\cwfqklur.dll
C:\WINDOWS\system32\a3d2b7ef-.txt
C:\WINDOWS\system32\qoMGYQJY.dll
C:\WINDOWS\system32\qoMEULFX.VIR
C:\WINDOWS\BMabc2400d.txt
C:\WINDOWS\pskt.ini
C:\WINDOWS\BMabc2400d.xml

4. Berichten

Melde Dich, wenn die Datei hochgeladen ist und ob Du alle Dateien gefunden und löschen konntest.

Hador · 11.07.2008, 13:34

Vielen Dank dass du dir die Zeit genommen hast. Nur leider, hat sich mein PC vorhin, als in den abgesicherten Modus gehen wolllte, selbst ein Bein gestellt. Er hielt es für lustig, von mir ein Kennwort zu verlangen, dass ich nicht kenne. Also hab ich ihn jetzt komplett neu aufgesetzt. ABer dennoch, danke für die kompetente Hilfe.

BataAlexander · 11.07.2008, 13:43

Neuaufsetzen ist sicherlich die Beste Lösung bei so einem Befall.
ich hoffe damit sind Deine Probleme erst mal behoben.

Splace · 16.07.2008, 13:32

Hey!
Hab mich auch mal hier angemeldet weil ich folgendes Problem habe.

[edit]

Bitte eröffne, wie jeder andere hier auch, für dein Problem einen eigenen Beitrag.
Nur so wird sichergestellt as jedem User übersichtlich und individuell geholfen werden kann.

Danke.

[/edit]

smtschaller · 03.11.2008, 14:15

Bin über Google hierauf gestossen.
Habe seit ein paar Tagen beim Start jedesmal 2 Meldungen von Antivir.
Dazu kommt, daß der Taskmanager deaktiviert sei...
Ich habe volle Admin-Rechte auf dem Rechner.

Antivir:
Exportierte Ereignisse:

03.11.2008 11:27 [Guard] Malware gefunden
In der Datei 'C:\Dokumente und Einstellungen\schaller\Lokale
Einstellungen\Temp\kjcvwxqz.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

03.11.2008 10:35 [Guard] Malware gefunden
In der Datei 'C:\Dokumente und Einstellungen\schaller\Lokale
Einstellungen\Temp\pmzafsbg.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

03.11.2008 10:30 [Guard] Malware gefunden
In der Datei 'C:\Dokumente und Einstellungen\schaller\Lokale
Einstellungen\Temp\bwfixytm.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

03.11.2008 08:32 [Guard] Malware gefunden
In der Datei 'C:\Dokumente und Einstellungen\schaller\Lokale
Einstellungen\Temp\bapwpolg.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan]
gefunden.
Ausgeführte Aktion: Datei löschen

01.11.2008 10:14 [Guard] Malware gefunden
In der Datei 'C:\Dokumente und Einstellungen\schaller\Lokale
Einstellungen\Temp\psvyzwzk.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan]
gefunden.
Ausgeführte Aktion: Datei löschen

31.10.2008 17:14 [Guard] Malware gefunden
In der Datei 'C:\Dokumente und Einstellungen\schaller\Lokale
Einstellungen\Temp\folchcdy.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan]
gefunden.
Ausgeführte Aktion: Datei löschen

31.10.2008 07:34 [Guard] Malware gefunden
In der Datei 'C:\Dokumente und Einstellungen\schaller\Lokale
Einstellungen\Temp\bqfurunk.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan]
gefunden.
Ausgeführte Aktion: Datei löschen

30.10.2008 07:12 [Guard] Malware gefunden
In der Datei 'C:\Dokumente und Einstellungen\schaller\Lokale
Einstellungen\Temp\naxifale.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

29.10.2008 17:57 [Guard] Malware gefunden
In der Datei 'C:\Dokumente und Einstellungen\schaller\Lokale
Einstellungen\Temp\jelwfubw.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan]
gefunden.
Ausgeführte Aktion: Datei löschen

29.10.2008 17:57 [Guard] Malware gefunden
In der Datei 'C:\WINDOWS\system32\dwtixoho.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan]
gefunden.
Ausgeführte Aktion: Datei löschen

29.10.2008 12:37 [Guard] Malware gefunden
In der Datei 'C:\Dokumente und Einstellungen\schaller\Lokale
Einstellungen\Temp\ipknmzwf.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

29.10.2008 12:37 [Guard] Malware gefunden
In der Datei 'C:\WINDOWS\system32\gnqdgnqz.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

29.10.2008 07:31 [Guard] Malware gefunden
In der Datei 'C:\Dokumente und Einstellungen\schaller\Lokale
Einstellungen\Temp\ghgfyler.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan]
gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

29.10.2008 07:31 [Guard] Malware gefunden
In der Datei 'C:\WINDOWS\system32\wpoxszel.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

28.10.2008 17:35 [Guard] Malware gefunden
In der Datei 'C:\Dokumente und Einstellungen\schaller\Lokale
Einstellungen\Temp\kpcxqlqt.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan]
gefunden.
Ausgeführte Aktion: Datei löschen

28.10.2008 17:35 [Guard] Malware gefunden
In der Datei 'C:\WINDOWS\system32\cfwbovev.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan]
gefunden.
Ausgeführte Aktion: Datei löschen

28.10.2008 17:35 [Guard] Malware gefunden
In der Datei 'C:\WINDOWS\system32\cfwbovev.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan]
gefunden.
Ausgeführte Aktion: Datei löschen

28.10.2008 08:45 [Guard] Malware gefunden
In der Datei 'C:\Dokumente und Einstellungen\schaller\Lokale
Einstellungen\Temp\gvkvybgv.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

28.10.2008 08:45 [Guard] Malware gefunden
In der Datei 'C:\WINDOWS\system32\izolqhwv.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

28.10.2008 08:18 [Guard] Malware gefunden
In der Datei 'C:\Dokumente und Einstellungen\schaller\Lokale
Einstellungen\Temp\udolmlwd.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

28.10.2008 08:18 [Guard] Malware gefunden
In der Datei 'C:\WINDOWS\system32\sxihqxgf.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

28.10.2008 08:18 [Guard] Malware gefunden
In der Datei 'C:\Dokumente und Einstellungen\schaller\Lokale
Einstellungen\Temp\atwdyhwn.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

28.10.2008 08:18 [Guard] Malware gefunden
In der Datei 'C:\WINDOWS\system32\afmbopwd.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern

Hijack This:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:30:21, on 03.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\padkrwvg\xwnstepo.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\PowerKey.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSDCtrl.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Visagesoft\eXPert PDF\vspdfprsrv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DeskSlide\DeskSlide.exe
C:\Programme\Respond\Respond2.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Plustek\OpticSlim M12 Plus\SMaster.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\acer\eRecovery\Monitor.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\bmwebcfg.exe
C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\OpenVPN\bin\openvpnserv.exe
C:\Programme\OpenVPN\bin\openvpn.exe
C:\Programme\Microsoft ActiveSync\WCESMgr.exe
D:\ideal\caramysql\Cara.exe
C:\WINDOWS\System32\svchost.exe
D:\ideal\caramysql\Cara.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Microsoft Office\Office\EXCEL.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [PowerKey] "C:\Programme\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] "C:\Programme\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\Programme\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Programme\Launch Manager\OSDCtrl.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [vspdfprsrv.exe] C:\Programme\Visagesoft\eXPert PDF\vspdfprsrv.exe --background
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DeskSlide] C:\Programme\DeskSlide\DeskSlide.exe -logon -hide
O4 - HKCU\..\Run: [Respond2] "C:\Programme\Respond\Respond2.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKLM\..\Policies\Explorer\Run: [DrP9R0ve3B] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\padkrwvg\xwnstepo.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-2089980016-2890493556-2566491401-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'postgres')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Scan Master.lnk = C:\Programme\Plustek\OpticSlim M12 Plus\SMaster.exe
O4 - Global Startup: ZHS Homestation DB-Import.LNK = C:\Programme\ZHS\homestat\dbimport.exe
O4 - Global Startup: ZHS Homestation.LNK = C:\Programme\ZHS\homestat\HOMEGATE.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\WINDOWS\system32\bmwebcfg.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Programme\OpenVPN\bin\openvpnserv.exe
O23 - Service: PostgreSQL Database Server 8.2 (pgsql-8.2) - PostgreSQL Global Development Group - C:\Programme\PostgreSQL\8.2\bin\pg_ctl.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

--
End of file - 8878 bytes

Adaware und Spybot sowie Antivir finden bei komplettem System-Scan NICHTS. Nur beim Start tauchen die 2 Meldungen auf und der Task-Manager geht nicht.

scarface · 28.05.2009, 21:26

hallo...
ich bin über google auf dieses forum gestoßen....

ich habe seit ein paar wochen den lästigen TR/Crypt.XPACK.Gen trojaner.
quarantäne, löschen,.... alles schon probiert. bringt aber nichts, der lästige trojaner kommt jedesmal beim pc hochfahren und ab und zu wenn ich im netz hänge.

ich würde mich über eure hilfe sehr freuen....

Andybln · 15.06.2009, 07:57

Ich habe seit Gestern auch plötzlich das Problem der Meldung TR/Crypt.XPACK.Gen - Trojan bei einer Datei die ich schon 2 Jahre auf dem Rechner habe.
Auf meinem anderen Rechner wo ich ein Aktuelles Norton drauf habe - habe ich die gleiche Datei gescannt ( ohne das etwas gefunden wurde )

Ist das jetzt nun eine FEHLMELDUNG von AVIR ?

mfg
Andreas

subdural · 21.10.2009, 11:16

moin moin...

ich habe insg. 3funde! allerdings weiß ich bei einer datei das sie clean ist!

ich bin mal so frei und poste den bericht des scans!
...

Premium Security Suite
Erstellungsdatum der Reportdatei: Mittwoch, 21. Oktober 2009 09:33

Es wird nach 1809849 Virenstämmen gesucht.

Lizenznehmer: AVM Computersysteme
Seriennummer: 2100086236-ISECM-0500
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: OVERTAX

Versionsinformationen:
BUILD.DAT : 8.2.0.263 28814 Bytes 15.05.2009 11:44:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18.11.2008 08:21:23
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 11:27:40
ANTIVIR2.VDF : 7.1.6.112 4833792 Bytes 15.10.2009 08:52:23
ANTIVIR3.VDF : 7.1.6.129 164864 Bytes 20.10.2009 07:31:41
Engineversion : 8.2.1.42
AEVDF.DLL : 8.1.1.2 106867 Bytes 05.10.2009 11:27:57
AESCRIPT.DLL : 8.1.2.38 487804 Bytes 21.10.2009 07:31:42
AESCN.DLL : 8.1.2.5 127346 Bytes 05.10.2009 11:27:53
AERDL.DLL : 8.1.3.2 479604 Bytes 05.10.2009 11:27:52
AEPACK.DLL : 8.2.0.1 422263 Bytes 21.10.2009 07:31:42
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 05.10.2009 11:27:51
AEHEUR.DLL : 8.1.0.167 2011511 Bytes 09.10.2009 11:58:14
AEHELP.DLL : 8.1.7.0 237940 Bytes 05.10.2009 11:27:48
AEGEN.DLL : 8.1.1.68 364918 Bytes 21.10.2009 07:31:41
AEEMU.DLL : 8.1.1.0 393587 Bytes 05.10.2009 11:27:47
AECORE.DLL : 8.1.8.1 184693 Bytes 05.10.2009 11:27:47
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.3 155688 Bytes 05.10.2009 11:27:46
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2904321 Bytes 12.06.2008 13:33:45
RCTEXT.DLL : 8.0.46.0 90369 Bytes 12.06.2008 13:33:58

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\avira premium security suite\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, G:, H:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Mittwoch, 21. Oktober 2009 09:33

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '43467' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avwebgrd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MsPMSPSv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PGPserv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IGDCTRL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTSVCCDA.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avesvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StCenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FwebProt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OSDMenu.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RcMan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '37' Prozesse mit '37' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'H:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '52' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <Files>
D:\Downloads\game dl temp\levelr_de.exe
[0] Archivtyp: ZIP SFX (self extracting)
--> Data1.cab
[1] Archivtyp: CAB (Microsoft)
--> _0A0DEB9B032B424BB09F0AA9B8AC419D
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Beginne mit der Suche in 'G:\' <Files I>
G:\toolz\packer\WinRar incl Crack.zip
[0] Archivtyp: ZIP
--> WinRar incl Crack/WRAR4.65.exe
[1] Archivtyp: RAR SFX (self extracting)
--> Uninstall.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[WARNUNG] Die Datei wurde ignoriert.
G:\toolz\packer\WinRar incl Crack\WRAR4.65.exe
[0] Archivtyp: RAR SFX (self extracting)
--> Uninstall.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b1fd48d.qua' verschoben!
G:\toolz\Registry Mechanic 7 Final\KeyGen\KeyGen.exe
[FUND] Ist das Trojanische Pferd TR/Spy.77312
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b57d4a4.qua' verschoben!
Beginne mit der Suche in 'H:\' <Files II>

Ende des Suchlaufs: Mittwoch, 21. Oktober 2009 11:33
Benötigte Zeit: 2:00:24 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

16856 Verzeichnisse wurden überprüft
616293 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
616288 Dateien ohne Befall
4417 Archive wurden durchsucht
4 Warnungen
2 Hinweise
43467 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

___________

wäre echt klasse wenn ihr mir sagen könnt, ob ich mir sorgen machen muss oder nicht!
und wenn, wie ich es am besten beseitige!
__________________
hijack log file:
...
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:20:16, on 21.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\Avira Premium Security Suite\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Creative\MediaSource\RemoteControl\RcMan.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Creative\MediaSource\RemoteControl\OSDMenu.EXE
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\Programme\Avira\Avira Premium Security Suite\avguard.exe
C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PGPserv.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\Avira Premium Security Suite\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.divx.com/divx/webplayerdem...6.8&yo=ietyie7
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - D:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Programme\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll (file missing)
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - D:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\Avira Premium Security Suite\avgnt.exe" /min
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [CTXFIREG] CTXFIREG.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\RunOnce: [NSSInstallation] C:\WINDOWS\system32\Adobe\Shockwave 11\nssstub.exe /RunOnce
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RcMan.exe
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\Run: [SmartRAM] "D:\Programme\Advanced SystemCare 3\Sup_SmartRAM.exe" /m
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: PGPtray.exe.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: PGPmapih.dll
O23 - Service: Adobe Version Cue CS3 {de_DE} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Avira Premium Security Suite Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\sched.exe
O23 - Service: Avira Premium Security Suite Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avguard.exe
O23 - Service: Avira Premium Security Suite WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE
O23 - Service: Avira Premium Security Suite MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PGPserv - PGP Corporation - C:\WINDOWS\system32\PGPserv.exe

--
End of file - 6172 bytes

vielen dank schon mal...

greetz
ax

11.07.2008, 13:43	#8
BataAlexander > MalwareDB	Antivir schlägt Alarm- Trojaner TR/Crypt.XPACK.Gen? Neuaufsetzen ist sicherlich die Beste Lösung bei so einem Befall. ich hoffe damit sind Deine Probleme erst mal behoben. __________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall

Antivir schlägt Alarm- Trojaner TR/Crypt.XPACK.Gen?

Log-Analyse und Auswertung: Antivir schlägt Alarm- Trojaner TR/Crypt.XPACK.Gen?