|
Plagegeister aller Art und deren Bekämpfung: 'TR/Crypt.XPACK.Gen' Springt auf WechseldatenträgerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
19.11.2008, 21:04 | #1 |
| 'TR/Crypt.XPACK.Gen' Springt auf Wechseldatenträger Hallo. Ich habe den Trojaner 'TR/Crypt.XPACK.Gen' vom USB Stick eines Freundes bekommen. Ich habe Photos kopiert, die mit einer DigiCam gemacht waren. Der Trojaner scheint jedoch nicht in den jpg´s enthalten zu sein, denn selbst nach dem formatieren des sticks muss da noch was drauf gewesen sein. (Es wurden noch zwei Rechner infiziert). Kurz darauf ging bei meinem PC die AntiVir Warnung los. Im nachhinein erzählte er mir, das er diesen Trojaner auch drauf hat. Nach langem Kämpfen mit den gängigen Tools_ AntiVir spybot search & destroy HiJackThis musste ich nachgeben und format c war am Ende die letzte Lösung. Da ich eine Windows,- zwei Datenpartitionen und eine externe Festplatte habe, machte ich mir um meine Daten erstmal keine Sorgen und hab windows neu auf c installert. Damit hatte ich zwei Wochen Ruhe bis vor ein paar Tagen. Ich wollte mir eine avi Filmdatei von meiner externen Festplatte ansehen und dann Bluescreen mit viel Text für eine Sekunde, dann Neustart. Ich glaube es war die Datei Ausführungs Verhinderung von Windows. Dieser Trojaner Scheint sich auf andere Speichermedien zu Übertragen, (Meine externe Festplatte) da ich jetzt wieder den Fund 'TR/Crypt.XPACK.Gen' bei Antivir angezeigt bekomme. Laut Antvir ist das der Trojaner, auf den anderen Laufwerken wird nichts gefunden_ 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZVPBH6YU\so7[1].VIR' 'C:\Dokumente und Einstellungen\***\so7.exe' Meine Frage ist wie bekomme das Ding von meiner externen (Datensicherungsplatte) runter ohne sie zur formatieren? Windows spiele ich neu dauf das ist klar, wenn ich aber die externe wieder anschließe und er immer wieder kommt bringt mir das Neuaufsetzen leider nichts. Bitte, bitte helft mir meine Sicherung zu sichern!!! |
20.11.2008, 00:34 | #2 |
| 'TR/Crypt.XPACK.Gen' Springt auf Wechseldatenträger Ich habe mich mal an den anderen Beiträgen zum dem Trojaner orientiert und die logfiles erstellt...
__________________Hier sind die ComboFix & hijackthis logfile. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:26:48, on 20.11.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\RUNDLL32.EXE E:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe C:\Programme\OpenOffice.org 2.3\program\soffice.exe C:\Programme\OpenOffice.org 2.3\program\soffice.BIN C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\IoctlSvc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\explorer.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=21940 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - E:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - E:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "E:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2TA\HotKey.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020 O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe O8 - Extra context menu item: An vorhandenes PDF anfügen - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1227104686468 O17 - HKLM\System\CCS\Services\Tcpip\..\{1055DDCE-36D0-4A26-9612-19B0AD2523F7}: NameServer = 213.191.74.11 213.191.92.82 O17 - HKLM\System\CS1\Services\Tcpip\..\{1055DDCE-36D0-4A26-9612-19B0AD2523F7}: NameServer = 213.191.74.11 213.191.92.82 O23 - Service: Adobe Version Cue CS3 {de_DE} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 8179 bytes ----------------------------------------------------------------------- ComboFix 08-11-18.A2 - aero 2008-11-20 0:20:25.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1393 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\aero\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . ((((((((((((((((((((((( Dateien erstellt von 2008-10-19 bis 2008-11-19 )))))))))))))))))))))))))))))) . 2008-11-19 21:49 . 2008-11-19 21:49 <DIR> d-------- c:\programme\iuLAB 2008-11-19 21:43 . 2008-11-19 21:43 <DIR> d-------- c:\programme\HmelyoffLabs 2008-11-19 21:14 . 2008-11-19 21:14 <DIR> d-------- c:\programme\Zattoo 2008-11-19 18:41 . 2008-11-19 18:41 <DIR> d-------- c:\programme\MSXML 4.0 2008-11-19 15:33 . 2008-11-19 18:53 <DIR> d-------- c:\windows\system32\CatRoot_bak 2008-11-19 15:31 . 2008-06-14 18:57 273,024 --------- c:\windows\system32\drivers\bthport.sys 2008-11-19 15:31 . 2008-06-14 18:57 273,024 -----c--- c:\windows\system32\dllcache\bthport.sys 2008-11-19 15:30 . 2008-08-14 14:42 2,182,656 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe 2008-11-19 15:30 . 2008-08-14 14:42 2,138,624 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe 2008-11-19 15:30 . 2008-08-14 14:42 2,060,032 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe 2008-11-19 15:30 . 2008-08-14 14:42 2,018,304 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe 2008-11-19 15:30 . 2008-10-24 12:10 453,632 -----c--- c:\windows\system32\dllcache\mrxsmb.sys 2008-11-19 15:25 . 2008-10-16 14:09 43,544 --a------ c:\windows\system32\wups2.dll 2008-11-19 15:25 . 2008-10-16 14:08 31,768 --a------ c:\windows\system32\wucltui.dll.mui 2008-11-19 15:25 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuaucpl.cpl.mui 2008-11-19 15:25 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui 2008-11-19 15:25 . 2008-10-16 14:07 18,968 --a------ c:\windows\system32\wuaueng.dll.mui 2008-11-19 15:24 . 2008-11-19 15:24 <DIR> d---s---- c:\dokumente und einstellungen\aero\UserData 2008-11-19 15:19 . 2008-11-19 18:40 <DIR> d-a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2008-11-18 11:33 . 2008-11-20 00:21 1,556,512 --ahs---- c:\windows\system32\drivers\fidbox.dat 2008-11-18 11:33 . 2008-11-19 23:03 20,984 --ahs---- c:\windows\system32\drivers\fidbox.idx 2008-11-18 11:31 . 2008-11-18 11:31 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MailFrontier 2008-11-18 11:31 . 2008-11-18 11:31 4,212 ---h----- c:\windows\system32\zllictbl.dat 2008-11-18 11:30 . 2008-11-18 11:30 <DIR> d-------- c:\programme\Zone Labs 2008-11-18 11:29 . 2008-11-19 20:03 <DIR> d-------- c:\windows\Internet Logs 2008-11-18 11:22 . 2008-11-18 11:22 <DIR> d-------- c:\programme\Avira 2008-11-18 11:22 . 2008-11-18 11:22 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira 2008-11-18 11:20 . 2008-11-18 11:20 0 --a------ c:\windows\nsreg.dat 2008-11-16 20:13 . 2008-11-16 20:13 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ableton 2008-11-16 20:13 . 2008-11-16 20:13 <DIR> d-------- c:\dokumente und einstellungen\aero\Anwendungsdaten\Ableton 2008-11-16 18:28 . 2008-11-16 18:30 <DIR> d-------- c:\windows\system32\NtmsData 2008-11-12 14:04 . 2008-11-12 14:04 2,422 --a------ c:\windows\system32\wpa.bak 2008-10-23 14:31 . 2008-11-03 00:00 108 --a------ c:\windows\Anw_IP.ini 2008-10-23 14:22 . 2001-08-18 03:54 87,040 --a------ c:\windows\system32\wiafbdrv.dll 2008-10-23 14:22 . 2001-08-18 03:54 87,040 --a--c--- c:\windows\system32\dllcache\wiafbdrv.dll 2008-10-23 14:22 . 2004-08-03 21:58 15,104 --a------ c:\windows\system32\drivers\usbscan.sys 2008-10-23 14:22 . 2004-08-03 21:58 15,104 --a--c--- c:\windows\system32\dllcache\usbscan.sys 2008-10-23 14:19 . 2008-10-23 14:19 <DIR> d-------- c:\programme\ABBYY FineReader 5.0 Sprint 2008-10-23 14:18 . 1998-10-21 17:43 328,704 --a------ c:\windows\IsUn0407.exe 2008-10-23 14:18 . 2003-05-08 08:58 36,864 -ra------ c:\windows\system32\Vizmicro.dll 2008-10-23 14:18 . 2000-08-02 13:47 26,112 -ra------ c:\windows\RunUnDrv.exe 2008-10-23 14:18 . 1998-07-30 06:44 14,336 -ra------ c:\windows\system32\pmxusb.cpl 2008-10-19 19:58 . 2008-10-19 19:58 <DIR> d-------- c:\dokumente und einstellungen\aero\Anwendungsdaten\vlc 2008-10-19 19:58 . 2008-10-19 19:58 <DIR> d-------- c:\dokumente und einstellungen\aero\Anwendungsdaten\dvdcss . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-11-19 22:04 --------- d-----w c:\dokumente und einstellungen\aero\Anwendungsdaten\OpenOffice.org2 2008-11-19 22:01 --------- d-----w c:\programme\Linotype FontExplorer X 2008-11-19 22:01 --------- d-----w c:\dokumente und einstellungen\aero\Anwendungsdaten\FontExplorerX 2008-11-19 18:57 201,216 ----a-w c:\windows\Internet Logs\xDB5.tmp 2008-11-19 18:57 196,608 ----a-w c:\windows\system32\drivers\nStandard.bin 2008-11-19 18:57 1,377,792 ----a-w c:\windows\Internet Logs\xDB6.tmp 2008-11-19 13:29 292,864 ----a-w c:\windows\Internet Logs\xDB4.tmp 2008-11-18 12:44 26,112 ----a-w c:\windows\Internet Logs\xDB3.tmp 2008-11-18 12:05 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-11-18 12:03 68,096 ----a-w c:\windows\Internet Logs\xDB1.tmp 2008-11-18 12:03 1,327,616 ----a-w c:\windows\Internet Logs\xDB2.tmp 2008-11-18 11:30 --------- d-----w c:\programme\Spybot - Search & Destroy 2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys 2008-10-18 14:28 --------- d-----w c:\programme\VirtualDJ 2008-10-18 14:20 --------- d--h--w c:\programme\InstallShield Installation Information 2008-10-18 14:17 --------- d-----w c:\programme\Hercules 2008-10-18 14:17 --------- d-----w c:\programme\Guillemot 2008-10-18 13:05 --------- d-----w c:\programme\Gemeinsame Dateien\FontLab 2008-10-18 13:05 --------- d-----w c:\programme\FontLab 2008-10-18 11:38 --------- d-----w c:\dokumente und einstellungen\aero\Anwendungsdaten\DivX 2008-10-18 11:18 --------- d-----w c:\programme\VideoLAN 2008-10-18 10:38 --------- d-----w c:\dokumente und einstellungen\aero\Anwendungsdaten\MozillaControl 2008-10-18 09:40 --------- d-----w c:\programme\OpenOffice.org 2.3 2008-10-18 09:38 --------- d-----w c:\programme\Snapshot 2008-10-18 09:37 --------- d-----w c:\programme\DivX 2008-10-18 09:33 --------- d-----w c:\programme\Gemeinsame Dateien\Softwin 2008-10-18 09:29 --------- d-----w c:\programme\NeroInstall.bak 2008-10-18 09:28 --------- d-----w c:\programme\Gemeinsame Dateien\Nero 2008-10-18 09:28 --------- d-----w c:\dokumente und einstellungen\aero\Anwendungsdaten\Nero 2008-10-18 09:27 --------- d-----w c:\programme\Nero 2008-10-18 09:27 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nero 2008-10-16 18:59 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet 2008-10-16 18:57 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe 2008-10-16 18:55 --------- d-----w c:\programme\Gemeinsame Dateien\Control Panels 2008-10-16 18:54 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ALM 2008-10-16 18:46 --------- d-----w c:\programme\QuickTime 2008-10-16 18:36 --------- d-----w c:\programme\Bonjour 2008-10-16 18:34 --------- d-----w c:\programme\Gemeinsame Dateien\Macrovision Shared 2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll 2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll 2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll 2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll 2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe 2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll 2008-10-14 12:15 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\WinZip 2008-10-14 11:46 --------- d-----w c:\programme\Trend Micro 2008-10-14 11:16 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles 2008-10-14 11:14 --------- d-----w c:\programme\My Company Name 2008-10-14 11:14 --------- d-----w c:\programme\ASUS 2008-10-14 11:12 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield 2008-10-14 11:10 --------- d-----w c:\programme\Attansic 2008-10-14 11:08 315,392 ----a-w c:\windows\HideWin.exe 2008-10-14 11:08 --------- d-----w c:\programme\Realtek 2008-10-14 10:54 --------- d-----w c:\programme\Intel 2008-10-14 10:47 --------- d-----w c:\programme\Online-Dienste 2008-10-14 10:47 --------- d-----w c:\programme\microsoft frontpage 2008-10-14 10:46 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste 2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll 2008-09-15 15:37 1,846,144 ----a-w c:\windows\system32\win32k.sys 2008-09-04 16:43 1,106,944 ----a-w c:\windows\system32\msxml3.dll 2008-08-20 05:35 665,088 ----a-w c:\windows\system32\wininet.dll 2006-06-23 22:48 32,768 ----a-r c:\windows\inf\UpdateUSB.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2006-02-28 15360] "IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" [2008-02-28 1828136] "SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-06-28 8466432] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-06-28 81920] "Acrobat Assistant 8.0"="e:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 624248] "Adobe_ID0EYTHM"="c:\progra~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE" [2007-03-20 1884160] "NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2008-02-28 570664] "NBKeyScan"="c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-02-18 2221352] "HotKey"="c:\windows\Twain_32\SlimU2TA\HotKey.exe" [2004-01-06 610304] "avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016] "RTHDCPL"="RTHDCPL.EXE" [2007-03-21 c:\windows\RTHDCPL.exe] "nwiz"="nwiz.exe" [2007-06-28 c:\windows\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-02-28 15360] c:\dokumente und einstellungen\aero\Startmen\Programme\Autostart\ OpenOffice.org 2.3.lnk - c:\programme\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 393216] [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server "3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server "50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server "50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server R3 asusgsb;ASUS Virtual Video Capture Device Driver;c:\windows\system32\drivers\asusgsb.sys [2008-10-14 12416] R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\DRIVERS\atl01_xp.sys [2008-10-14 38656] R3 Video3D;ASUS Video3D Service;c:\windows\system32\Drivers\Video3D32.sys [2008-10-14 10752] S3 HDJCtrl;Hercules DJ Control MP3 Service;c:\windows\system32\Drivers\HDJCtrl.sys [2008-10-18 11008] S3 HDJMidi;Hercules DJ Console MIDI;c:\windows\system32\DRIVERS\HDJMidi.sys [2008-10-18 39424] *Newly Created Service* - PROCEXP90 [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}] c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Run-ASUSGamerOSD - c:\program files\ASUS\GamerOSD\GamerOSD.exe . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - c:\dokumente und einstellungen\aero\Anwendungsdaten\Mozilla\Firefox\Profiles\rqf80acg.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.de FF -: plugin - c:\programme\DivX\DivX Content Uploader\npUpload.dll FF -: plugin - e:\programme\Adobe\Acrobat 8.0\Acrobat\browser\nppdf32.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-20 00:21:47 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-11-20 0:23:02 ComboFix-quarantined-files.txt 2008-11-19 23:22:26 Vor Suchlauf: 9 Verzeichnis(se), 92.129.665.024 Bytes frei Nach Suchlauf: 9 Verzeichnis(se), 92,297,674,752 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptOut 196 --- E O F --- 2008-11-19 17:47:42 Besten Dank im voraus!!! Ich hoffe da kann jemand was mit anfangen... |
20.11.2008, 11:35 | #3 |
| 'TR/Crypt.XPACK.Gen' Springt auf Wechseldatenträger Ich habs wohl nur zufällig gemerkt und auch behoben.
__________________Mein PC hat ein anderes Problem. Deshalb habe ich Antivir deinstalliert und mir die Freeware Antivir Workstation gezogen. Nach der Installation hate ich folgende Meldungen --TR/cryptXPack.gen - ist von AV entfernt worden. --dr/delphi.gen - ist von AV entfernt worden. --dr/autoit.cl - ist von AV entfernt worden. --tr/keygen.fv - ist von AV entfernt worden. --tr/keygen.fw - ist von AV entfernt worden. ander kann Ich Dir nicht helfen viel Erfolg willi |
22.11.2008, 12:54 | #4 |
| 'TR/Crypt.XPACK.Gen' Springt auf Wechseldatenträger ne willi, ich mein was anderes... wenn er nicht aktiv ist findet avira ihn nicht. er ist auf meiner externen!!! also nochmal die frage: wie bekomme ich den 'TR/Crypt.XPACK.Gen' von meiner externen??? danke |
Themen zu 'TR/Crypt.XPACK.Gen' Springt auf Wechseldatenträger |
antivir, antvir, avi, bluescree, bluescreen, content.ie5, einstellungen, externe festplatte, festplatte, formatieren, frage, fund, immer wieder, infiziert, internet, laufwerke, neu, nichts, rechner, speichermedien, spiele, stick, tools, tr/crypt.xpack.ge, tr/crypt.xpack.gen, tr/crypt.xpack.gen', trojaner, trojaner 'tr/crypt.xpack.gen', usb, usb stick, warnung, wechseldatenträger, windows |