| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Brauche Hilfe bei beseitigung von TR/Crypt.XPACK.Gen!!!!!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
11.08.2008, 22:00
| #1 |
| |  Brauche Hilfe bei beseitigung von TR/Crypt.XPACK.Gen!!!!! Hallo Liebe Community, ich habe ein Problem mit einem oder mehreren?!?! Trojanern. Ich habe bereits ein Tutorial durchgemacht ála Systemwiederherstellung dann abgesicherter bla bla ect. was jedoch keinen erfolg garantieren konnte. Habe auch die betroffenen Dll`s in der Registry gelöscht, sie kommen jedoch immer wieder. Hier mein HJT Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:41:36, on 11.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\explorer.exe C:\Dokumente und Einstellungen\***\Desktop\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin .dll O2 - BHO: (no name) - {49D1D423-3C4B-4716-80A5-EC6C8F373828} - C:\WINDOWS\system32\awtsQKdD.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: (no name) - {8D742974-DEA8-40F2-9008-9BAA973C958D} - C:\WINDOWS\system32\mlJARIXR.dll (file missing) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: {6b13da20-d03b-8dd9-b6c4-ca337028f93b} - {b39f8207-33ac-4c6b-9dd8-b30d02ad31b6} - C:\WINDOWS\system32\kdymlm.dll O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O20 - Winlogon Notify: mlJARIXR - mlJARIXR.dll (file missing) O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe -- End of file - 5233 bytes Hier mein Avira Report. Code:
ATTFilter Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 2. August 2008 12:45
Es wird nach 1528705 Virenstämmen gesucht.
Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: ****
Versionsinformationen:
BUILD.DAT : 8.1.00.295 16479 Bytes 09.04.2008 16:22:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 18.03.2008 09:02:52
AVSCAN.DLL : 8.1.1.0 57601 Bytes 30.01.2008 15:10:50
LUKE.DLL : 8.1.2.9 151809 Bytes 28.02.2008 08:41:20
LUKERES.DLL : 8.1.2.0 12545 Bytes 19.02.2008 08:39:40
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 10:43:51
ANTIVIR2.VDF : 7.0.5.174 2027008 Bytes 25.07.2008 10:43:58
ANTIVIR3.VDF : 7.0.5.205 285696 Bytes 01.08.2008 10:44:00
Engineversion : 8.1.1.15
AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21
AESCRIPT.DLL : 8.1.0.61 311675 Bytes 02.08.2008 10:44:14
AESCN.DLL : 8.1.0.23 119156 Bytes 02.08.2008 10:44:13
AERDL.DLL : 8.1.0.20 418165 Bytes 02.08.2008 10:44:12
AEPACK.DLL : 8.1.2.1 364917 Bytes 02.08.2008 10:44:10
AEOFFICE.DLL : 8.1.0.21 192891 Bytes 02.08.2008 10:44:09
AEHEUR.DLL : 8.1.0.44 1343863 Bytes 02.08.2008 10:44:08
AEHELP.DLL : 8.1.0.15 115063 Bytes 02.08.2008 10:44:05
AEGEN.DLL : 8.1.0.32 315765 Bytes 02.08.2008 10:44:04
AEEMU.DLL : 8.1.0.7 430452 Bytes 02.08.2008 10:44:03
AECORE.DLL : 8.1.1.8 172406 Bytes 02.08.2008 10:44:02
AEBB.DLL : 8.1.0.1 53617 Bytes 02.08.2008 10:44:01
AVWINLL.DLL : 1.0.0.7 14593 Bytes 23.01.2008 17:05:55
AVPREF.DLL : 8.0.0.1 25857 Bytes 18.02.2008 10:29:37
AVREP.DLL : 8.0.0.2 98344 Bytes 02.08.2008 10:44:00
AVREG.DLL : 8.0.0.0 30977 Bytes 23.01.2008 17:05:52
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28.02.2008 08:31:27
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23.01.2008 17:06:34
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10.03.2008 14:34:46
RCTEXT.DLL : 8.0.32.0 86273 Bytes 06.03.2008 11:58:49
Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Beginn des Suchlaufs: Samstag, 2. August 2008 12:45
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMax4.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smax4pnp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrB.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '32' Prozesse mit '32' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '36' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <C>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{53C9D017-7DF8-4F70-9454-37D4FB69C31D}\RP118\A0141355.exe
[FUND] Enthält Erkennungsmuster des Droppers DR/ActualSpy.B
C:\System Volume Information\_restore{53C9D017-7DF8-4F70-9454-37D4FB69C31D}\RP118\A0141355.exe
[0] Archivtyp: ZIP SFX (self extracting)
--> svchost.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48c54057.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{53C9D017-7DF8-4F70-9454-37D4FB69C31D}\RP128\A0173458.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Swizzor.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48c54079.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{53C9D017-7DF8-4F70-9454-37D4FB69C31D}\RP128\A0173459.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Swizzor.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48c5407e.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{53C9D017-7DF8-4F70-9454-37D4FB69C31D}\RP128\A0173460.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Swizzor.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48c54085.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{53C9D017-7DF8-4F70-9454-37D4FB69C31D}\RP128\A0173462.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Swizzor.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48c54086.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{53C9D017-7DF8-4F70-9454-37D4FB69C31D}\RP128\A0173464.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Swizzor.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 496453ff.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{53C9D017-7DF8-4F70-9454-37D4FB69C31D}\RP128\A0173470.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Swizzor.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48c54778.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{53C9D017-7DF8-4F70-9454-37D4FB69C31D}\RP138\A0198858.dll
[FUND] Ist das Trojanische Pferd TR/Monder.biw
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48c5409e.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\' <D>
Beginne mit der Suche in 'E:\' <E>
Ende des Suchlaufs: Samstag, 2. August 2008 13:15
Benötigte Zeit: 30:52 min
Der Suchlauf wurde vollständig durchgeführt.
7256 Verzeichnisse wurden überprüft
556683 Dateien wurden geprüft
8 Viren bzw. unerwünschte Programme wurden gefunden
1 Dateien wurden als verdächtig eingestuft
8 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
8 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
556675 Dateien ohne Befall
1406 Archive wurden durchsucht
1 Warnungen
8 Hinweise
---Ende Hier der aktuelle: Code:
ATTFilter Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 11. August 2008 21:27
Es wird nach 1547103 Virenstämmen gesucht.
Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Abgesicherter Modus
Benutzername: SYSTEM
Computername: ****
Versionsinformationen:
BUILD.DAT : 8.1.00.295 16479 Bytes 09.04.2008 16:22:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 18.03.2008 09:02:52
AVSCAN.DLL : 8.1.1.0 57601 Bytes 30.01.2008 15:10:50
LUKE.DLL : 8.1.2.9 151809 Bytes 28.02.2008 08:41:20
LUKERES.DLL : 8.1.2.0 12545 Bytes 19.02.2008 08:39:40
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 10:43:51
ANTIVIR2.VDF : 7.0.5.207 2316800 Bytes 04.08.2008 21:03:01
ANTIVIR3.VDF : 7.0.5.240 229376 Bytes 11.08.2008 19:15:16
Engineversion : 8.1.1.19
AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21
AESCRIPT.DLL : 8.1.0.63 311673 Bytes 08.08.2008 05:51:06
AESCN.DLL : 8.1.0.23 119156 Bytes 02.08.2008 10:44:13
AERDL.DLL : 8.1.0.20 418165 Bytes 02.08.2008 10:44:12
AEPACK.DLL : 8.1.2.1 364917 Bytes 02.08.2008 10:44:10
AEOFFICE.DLL : 8.1.0.21 192891 Bytes 02.08.2008 10:44:09
AEHEUR.DLL : 8.1.0.47 1368437 Bytes 08.08.2008 05:51:05
AEHELP.DLL : 8.1.0.15 115063 Bytes 02.08.2008 10:44:05
AEGEN.DLL : 8.1.0.35 315764 Bytes 08.08.2008 05:51:03
AEEMU.DLL : 8.1.0.7 430452 Bytes 02.08.2008 10:44:03
AECORE.DLL : 8.1.1.8 172406 Bytes 02.08.2008 10:44:02
AEBB.DLL : 8.1.0.1 53617 Bytes 02.08.2008 10:44:01
AVWINLL.DLL : 1.0.0.7 14593 Bytes 23.01.2008 17:05:55
AVPREF.DLL : 8.0.0.1 25857 Bytes 18.02.2008 10:29:37
AVREP.DLL : 8.0.0.2 98344 Bytes 02.08.2008 10:44:00
AVREG.DLL : 8.0.0.0 30977 Bytes 23.01.2008 17:05:52
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28.02.2008 08:31:27
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23.01.2008 17:06:34
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10.03.2008 14:34:46
RCTEXT.DLL : 8.0.32.0 86273 Bytes 06.03.2008 11:58:49
Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Beginn des Suchlaufs: Montag, 11. August 2008 21:27
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '11' Prozesse mit '11' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
C:\WINDOWS\system32\mlJARIXR.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[WARNUNG] Die Datei konnte nicht gelöscht werden!
Die Registry wurde durchsucht ( '33' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <C>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Setups,Downloads\[CheatDB] SSW (Super Simple Wall) v4.3 2008-03-10.rar
[0] Archivtyp: RAR
--> SS Wall v4.3.exe
[FUND] Ist das Trojanische Pferd TR/Hijacker.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49089f88.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\awtsQKdD.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4914a1af.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei konnte nicht gelöscht werden!
C:\WINDOWS\system32\mlJARIXR.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48eaa1cd.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei konnte nicht gelöscht werden!
Beginne mit der Suche in 'D:\' <D>
D:\Hurensohn_meineDateien!\Sachen für Games + 1.5\CounterStrike\SS Wall v4.3.exe
[FUND] Ist das Trojanische Pferd TR/Hijacker.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48c0a2a6.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
Beginne mit der Suche in 'E:\' <E>
Ende des Suchlaufs: Montag, 11. August 2008 22:34
Benötigte Zeit: 1:07:10 min
Der Suchlauf wurde vollständig durchgeführt.
7067 Verzeichnisse wurden überprüft
548411 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
2 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
548406 Dateien ohne Befall
1361 Archive wurden durchsucht
4 Warnungen
4 Hinweise
Hier meine Netzwerk Verbindungen: Code:
ATTFilter Aktive Verbindungen
Proto Lokale Adresse Remoteadresse Status
TCP ****:epmap ****:0 ABHÖREN
TCP ****:microsoft-ds ****:0 ABHÖREN
TCP ****:1028 ****:0 ABHÖREN
TCP ****:1033 localhost:1034 HERGESTELLT
TCP ****:1034 localhost:1033 HERGESTELLT
TCP ****:1035 localhost:1036 HERGESTELLT
TCP ****:1036 localhost:1035 HERGESTELLT
TCP ****:27015 ****:0 ABHÖREN
TCP ****:netbios-ssn ****:0 ABHÖREN
UDP ****:microsoft-ds *:*
UDP ****:isakmp *:*
UDP ****:4500 *:*
UDP ****:ntp *:*
UDP ****:44301 *:*
UDP ****:45301 *:*
UDP ****:ntp *:*
UDP ****:netbios-ns *:*
UDP ****:netbios-dgm *:*
Ich hoffe ihr könnt mir helfen denn ich möchte unter keinen Umständen (außer wenn nix mehr geht) meine HDD`s formatieren. Sry wegen des langen Textes. Mfg Marc Geändert von marc91 (11.08.2008 um 22:35 Uhr) Grund: Logfiles in Code |
| Themen zu Brauche Hilfe bei beseitigung von TR/Crypt.XPACK.Gen!!!!! |
| 0 bytes, antivir, antivirus, avgnt, avgnt.exe, avira, beseitigung, bho, brauche hilfe, ctfmon.exe, desktop, ellung, file missing, firefox.exe, google, helfen, hijack, hijackthis, hilfe bei beseitigung, hkus\s-1-5-18, internet, internet explorer, internet security, kaspersky, logfile, mehrere, microsoft-ds, netbios-ns, nt.dll, nvcpl.dll, problem, prozesse, quara, registry, rundll, s-1-5-18, security, software, suchlauf, super, tr/crypt.xpack.ge, tr/crypt.xpack.gen, trend micro, trojaner, verweise, virus gefunden, warnung, windows, windows xp |
Baum-Darstellung