|
Log-Analyse und Auswertung: Antivir: TR/Crypt.XPACK.Gen + exporer.exe "defekt"Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
19.11.2008, 13:13 | #1 |
| Antivir: TR/Crypt.XPACK.Gen + exporer.exe "defekt" Hallo alle zusammen, ich habe am Sonntag abend ganz normal meinen PC runterfahren lassen. Habe auch nichts besonderes gemacht oder verändert. Am Montag ist er dann nicht mehr hochgefahren, d.h. er fährt ganz normal hoch bis zu dem Punkt wo normal der Desktop angezeigt wird. Hier bleibt er stehen, d.h. keine Symbole und keine Start-Leiste. Also nur der Desktphintergrund. Den Taskmanager kann ich jedoch aufrufen und dort habe ich gesehen, dass explorer.exe nicht ausgeführt wird. Manuell kann ich auch nicht starten, dh. explorer.exe beendet sofort wieder wenn ich sie ausführen will. Nun habe ich einen Virenscan gemacht und TR/Crypt.XPACK.Gen, einen Trojaner, gefunden. Ich habe vor Windows neu aufzusetzen, jedoch komme ich erst am Wochenende wieder heim (bin Student) und da ich ich den PC von einem Freund geliehen habe kann ich auch erst dann die Windows-Installations-CD von ihm holen. Ich habe den PC vor Kurzem von ihm bekommen und nicht groß etwas daran verändert. Wielange der Wurm schon drauf ist kann ich also nicht sagen. Meine Fragen sind jetzt Folgende: - Was macht dieser Wurm genau? - Kann ich bis zum Wochenende das Internet normal nutzen oder wäre dies grob fahrlässig? - Ich habe in letzter Zeit Internetbanking betrieben und da ich ja nicht weiß seit wann der Wurm drauf ist habe ich jetzt ein wenig Angst. Soll ich von einem anderen PC das Passwort ändern oder noch andere Schritte einleiten? - Was soll ich mit dem Wurm tun? Antivir schlug mir mehrere Optionen vor. Ich habe ihn jetzt vorerst ignorieren lassen, da ich nicht wusste ob ich ihn löschen oder in quarantäne schicken soll. - Was muss ich bei der Neuaufsetzung des Systems beachten, d.h welche Sicherheitsvorkehrungen soll ich von Anfang an beachten. Vielleicht kann mir hierzu jemand ein oder zwei Links geben (ich werde mich natürlich auch noch selbst bemühen!) - Welche Dateien kann ich Problemlos per externer Festplatte sichern? Habe gehört keine exe. Dateien. - Welche Live-CD könnt ihr mir zur Datensicherung empfehlen? Es geht hauptsächlich um Musik und diverste doc.-files. Ich weiß das ist alles ein wenig viel Fragerei und falls das jemandem unverschämt vorkommt dann bitte einfach kurz darqauf hinweisen. Ich werde mich dann versuchen selbst zu helfen. Zu guter letzt habe ich noch ein Hijack-logfile erstellt: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:17:02, on 19.11.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\UAService7.exe C:\Programme\OpenOffice.org 2.4\program\soffice.exe C:\Programme\OpenOffice.org 2.4\program\soffice.BIN C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\XXX\Desktop\hijack\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = hxxp://internetsearchservice.com R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = hxxp://internetsearchservice.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://internetsearchservice.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://internetsearchservice.com/ie6.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://internetsearchservice.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://internetsearchservice.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://internetsearchservice.com/ie6.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://internetsearchservice.com R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://internetsearchservice.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://internetsearchservice.com R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hxxp://www.searchgateway.net/search/%s R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: 527631 helper - {54160F28-994B-48DD-8D83-1B2F6B9EB054} - (no file) O3 - Toolbar: (no name) - {BB324F49-82D8-4778-9E25-267724F65061} - (no file) O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [IntelliPoint] "c:\Programme\Microsoft IntelliPoint\ipoint.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe -p O4 - HKLM\..\Policies\Explorer\Run: [51CXxyAuq1] C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\mjwpslgx\avqpihgb.exe O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Programme\NetProject\scit.exe O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Programme\NetProject\sbmntr.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - hxxp://www.iexplorergate.com/redirect.php (file missing) O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - hxxp://www.iexplorergate.com/redirect.php (file missing) O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\PROGRA~1\AWS\WEATHE~1\Weather.exe (file missing) (HKCU) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143737207640 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxps://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O22 - SharedTaskScheduler: enswathes - {4d51e91c-e917-4b7f-89ff-abe471e16927} - (no file) O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe O24 - Desktop Component 0: (no name) - file:///D:/files/extras/wallpapers_cbs/1024x768/thumbnails/wallpaper_test_drive_unlimited_02_1024.jpg O24 - Desktop Component 1: (no name) - file:///D:/files/extras/wallpapers_cbs/1024x768/thumbnails/wallpaper_dragon_blade_wrath_of_fire_01_1024.jpg -- End of file - 9344 bytes Vielen Dank im Voraus mfg Flo |
20.11.2008, 15:40 | #2 |
| Antivir: TR/Crypt.XPACK.Gen + exporer.exe "defekt" Hallo,
__________________möchte mir niemand wenigstens sagen was der trojaner mit meinem PC macht oder die ein oder andere frage die ich gestell habe. das wäre sehr sehr nett. viele grüße flo |
20.11.2008, 16:10 | #3 |
| Antivir: TR/Crypt.XPACK.Gen + exporer.exe "defekt" Ich kann dir nicht viel sagen, aber ich du solltest auf jeden Fall das PW vom Internetbanking schleunigst ändern! Und ich würde den Virus jetzt mal Quarantänieren, aber ich keine Garantie.
__________________ |
Themen zu Antivir: TR/Crypt.XPACK.Gen + exporer.exe "defekt" |
anfang, antivir, antivirus, aufrufe, avgnt, avgnt.exe, avira, bho, bonjour, desktop, festplatte, firefox, frage, gainward, google, hijackthis, hkus\s-1-5-18, ignorieren, internet, internet explorer, mehrere, mozilla, nicht starten, object, rundll, scan, software, starten, taskmanager, tr/crypt.xpack.ge, tr/crypt.xpack.gen, trojaner, windows, windows xp, wurm, ändern |