'TR/Crypt.XPACK.Gen' Springt auf Wechseldatenträger

Peter0251 · 19.11.2008, 21:04

Hallo.

Ich habe den Trojaner 'TR/Crypt.XPACK.Gen' vom USB Stick eines Freundes bekommen. Ich habe Photos kopiert, die mit einer DigiCam gemacht waren.
Der Trojaner scheint jedoch nicht in den jpg´s enthalten zu sein,
denn selbst nach dem formatieren des sticks muss da noch was drauf gewesen sein. (Es wurden noch zwei Rechner infiziert).

Kurz darauf ging bei meinem PC die AntiVir Warnung los.
Im nachhinein erzählte er mir, das er diesen Trojaner auch drauf hat.

Nach langem Kämpfen mit den gängigen Tools_
AntiVir
spybot search & destroy
HiJackThis
musste ich nachgeben und format c war am Ende die letzte Lösung.
Da ich eine Windows,- zwei Datenpartitionen und eine externe Festplatte habe, machte ich mir um meine Daten erstmal keine Sorgen und hab windows neu auf c installert.

Damit hatte ich zwei Wochen Ruhe bis vor ein paar Tagen.
Ich wollte mir eine avi Filmdatei von meiner externen Festplatte ansehen und dann Bluescreen mit viel Text für eine Sekunde, dann Neustart.
Ich glaube es war die Datei Ausführungs Verhinderung von Windows.

Dieser Trojaner Scheint sich auf andere Speichermedien zu Übertragen,
(Meine externe Festplatte) da ich jetzt wieder den Fund 'TR/Crypt.XPACK.Gen' bei Antivir angezeigt bekomme.

Laut Antvir ist das der Trojaner, auf den anderen Laufwerken wird nichts gefunden_

'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZVPBH6YU\so7[1].VIR'

'C:\Dokumente und Einstellungen\***\so7.exe'

Meine Frage ist wie bekomme das Ding von meiner externen (Datensicherungsplatte) runter ohne sie zur formatieren?
Windows spiele ich neu dauf das ist klar, wenn ich aber die externe wieder anschließe und er immer wieder kommt bringt mir das Neuaufsetzen leider nichts.

Bitte, bitte helft mir meine Sicherung zu sichern!!!

Peter0251 · 20.11.2008, 00:34

Ich habe mich mal an den anderen Beiträgen zum dem Trojaner orientiert und die logfiles erstellt...

Hier sind die ComboFix & hijackthis logfile.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:26:48, on 20.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
E:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.BIN
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=21940
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - E:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - E:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "E:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2TA\HotKey.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://E:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1227104686468
O17 - HKLM\System\CCS\Services\Tcpip\..\{1055DDCE-36D0-4A26-9612-19B0AD2523F7}: NameServer = 213.191.74.11 213.191.92.82
O17 - HKLM\System\CS1\Services\Tcpip\..\{1055DDCE-36D0-4A26-9612-19B0AD2523F7}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: Adobe Version Cue CS3 {de_DE} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 8179 bytes

-----------------------------------------------------------------------

ComboFix 08-11-18.A2 - aero 2008-11-20 0:20:25.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1393 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\aero\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2008-10-19 bis 2008-11-19 ))))))))))))))))))))))))))))))
.

2008-11-19 21:49 . 2008-11-19 21:49 <DIR> d-------- c:\programme\iuLAB
2008-11-19 21:43 . 2008-11-19 21:43 <DIR> d-------- c:\programme\HmelyoffLabs
2008-11-19 21:14 . 2008-11-19 21:14 <DIR> d-------- c:\programme\Zattoo
2008-11-19 18:41 . 2008-11-19 18:41 <DIR> d-------- c:\programme\MSXML 4.0
2008-11-19 15:33 . 2008-11-19 18:53 <DIR> d-------- c:\windows\system32\CatRoot_bak
2008-11-19 15:31 . 2008-06-14 18:57 273,024 --------- c:\windows\system32\drivers\bthport.sys
2008-11-19 15:31 . 2008-06-14 18:57 273,024 -----c--- c:\windows\system32\dllcache\bthport.sys
2008-11-19 15:30 . 2008-08-14 14:42 2,182,656 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2008-11-19 15:30 . 2008-08-14 14:42 2,138,624 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2008-11-19 15:30 . 2008-08-14 14:42 2,060,032 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2008-11-19 15:30 . 2008-08-14 14:42 2,018,304 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2008-11-19 15:30 . 2008-10-24 12:10 453,632 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2008-11-19 15:25 . 2008-10-16 14:09 43,544 --a------ c:\windows\system32\wups2.dll
2008-11-19 15:25 . 2008-10-16 14:08 31,768 --a------ c:\windows\system32\wucltui.dll.mui
2008-11-19 15:25 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuaucpl.cpl.mui
2008-11-19 15:25 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui
2008-11-19 15:25 . 2008-10-16 14:07 18,968 --a------ c:\windows\system32\wuaueng.dll.mui
2008-11-19 15:24 . 2008-11-19 15:24 <DIR> d---s---- c:\dokumente und einstellungen\aero\UserData
2008-11-19 15:19 . 2008-11-19 18:40 <DIR> d-a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-11-18 11:33 . 2008-11-20 00:21 1,556,512 --ahs---- c:\windows\system32\drivers\fidbox.dat
2008-11-18 11:33 . 2008-11-19 23:03 20,984 --ahs---- c:\windows\system32\drivers\fidbox.idx
2008-11-18 11:31 . 2008-11-18 11:31 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MailFrontier
2008-11-18 11:31 . 2008-11-18 11:31 4,212 ---h----- c:\windows\system32\zllictbl.dat
2008-11-18 11:30 . 2008-11-18 11:30 <DIR> d-------- c:\programme\Zone Labs
2008-11-18 11:29 . 2008-11-19 20:03 <DIR> d-------- c:\windows\Internet Logs
2008-11-18 11:22 . 2008-11-18 11:22 <DIR> d-------- c:\programme\Avira
2008-11-18 11:22 . 2008-11-18 11:22 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2008-11-18 11:20 . 2008-11-18 11:20 0 --a------ c:\windows\nsreg.dat
2008-11-16 20:13 . 2008-11-16 20:13 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ableton
2008-11-16 20:13 . 2008-11-16 20:13 <DIR> d-------- c:\dokumente und einstellungen\aero\Anwendungsdaten\Ableton
2008-11-16 18:28 . 2008-11-16 18:30 <DIR> d-------- c:\windows\system32\NtmsData
2008-11-12 14:04 . 2008-11-12 14:04 2,422 --a------ c:\windows\system32\wpa.bak
2008-10-23 14:31 . 2008-11-03 00:00 108 --a------ c:\windows\Anw_IP.ini
2008-10-23 14:22 . 2001-08-18 03:54 87,040 --a------ c:\windows\system32\wiafbdrv.dll
2008-10-23 14:22 . 2001-08-18 03:54 87,040 --a--c--- c:\windows\system32\dllcache\wiafbdrv.dll
2008-10-23 14:22 . 2004-08-03 21:58 15,104 --a------ c:\windows\system32\drivers\usbscan.sys
2008-10-23 14:22 . 2004-08-03 21:58 15,104 --a--c--- c:\windows\system32\dllcache\usbscan.sys
2008-10-23 14:19 . 2008-10-23 14:19 <DIR> d-------- c:\programme\ABBYY FineReader 5.0 Sprint
2008-10-23 14:18 . 1998-10-21 17:43 328,704 --a------ c:\windows\IsUn0407.exe
2008-10-23 14:18 . 2003-05-08 08:58 36,864 -ra------ c:\windows\system32\Vizmicro.dll
2008-10-23 14:18 . 2000-08-02 13:47 26,112 -ra------ c:\windows\RunUnDrv.exe
2008-10-23 14:18 . 1998-07-30 06:44 14,336 -ra------ c:\windows\system32\pmxusb.cpl
2008-10-19 19:58 . 2008-10-19 19:58 <DIR> d-------- c:\dokumente und einstellungen\aero\Anwendungsdaten\vlc
2008-10-19 19:58 . 2008-10-19 19:58 <DIR> d-------- c:\dokumente und einstellungen\aero\Anwendungsdaten\dvdcss

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-19 22:04 --------- d-----w c:\dokumente und einstellungen\aero\Anwendungsdaten\OpenOffice.org2
2008-11-19 22:01 --------- d-----w c:\programme\Linotype FontExplorer X
2008-11-19 22:01 --------- d-----w c:\dokumente und einstellungen\aero\Anwendungsdaten\FontExplorerX
2008-11-19 18:57 201,216 ----a-w c:\windows\Internet Logs\xDB5.tmp
2008-11-19 18:57 196,608 ----a-w c:\windows\system32\drivers\nStandard.bin
2008-11-19 18:57 1,377,792 ----a-w c:\windows\Internet Logs\xDB6.tmp
2008-11-19 13:29 292,864 ----a-w c:\windows\Internet Logs\xDB4.tmp
2008-11-18 12:44 26,112 ----a-w c:\windows\Internet Logs\xDB3.tmp
2008-11-18 12:05 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-11-18 12:03 68,096 ----a-w c:\windows\Internet Logs\xDB1.tmp
2008-11-18 12:03 1,327,616 ----a-w c:\windows\Internet Logs\xDB2.tmp
2008-11-18 11:30 --------- d-----w c:\programme\Spybot - Search & Destroy
2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-18 14:28 --------- d-----w c:\programme\VirtualDJ
2008-10-18 14:20 --------- d--h--w c:\programme\InstallShield Installation Information
2008-10-18 14:17 --------- d-----w c:\programme\Hercules
2008-10-18 14:17 --------- d-----w c:\programme\Guillemot
2008-10-18 13:05 --------- d-----w c:\programme\Gemeinsame Dateien\FontLab
2008-10-18 13:05 --------- d-----w c:\programme\FontLab
2008-10-18 11:38 --------- d-----w c:\dokumente und einstellungen\aero\Anwendungsdaten\DivX
2008-10-18 11:18 --------- d-----w c:\programme\VideoLAN
2008-10-18 10:38 --------- d-----w c:\dokumente und einstellungen\aero\Anwendungsdaten\MozillaControl
2008-10-18 09:40 --------- d-----w c:\programme\OpenOffice.org 2.3
2008-10-18 09:38 --------- d-----w c:\programme\Snapshot
2008-10-18 09:37 --------- d-----w c:\programme\DivX
2008-10-18 09:33 --------- d-----w c:\programme\Gemeinsame Dateien\Softwin
2008-10-18 09:29 --------- d-----w c:\programme\NeroInstall.bak
2008-10-18 09:28 --------- d-----w c:\programme\Gemeinsame Dateien\Nero
2008-10-18 09:28 --------- d-----w c:\dokumente und einstellungen\aero\Anwendungsdaten\Nero
2008-10-18 09:27 --------- d-----w c:\programme\Nero
2008-10-18 09:27 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nero
2008-10-16 18:59 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-10-16 18:57 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2008-10-16 18:55 --------- d-----w c:\programme\Gemeinsame Dateien\Control Panels
2008-10-16 18:54 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ALM
2008-10-16 18:46 --------- d-----w c:\programme\QuickTime
2008-10-16 18:36 --------- d-----w c:\programme\Bonjour
2008-10-16 18:34 --------- d-----w c:\programme\Gemeinsame Dateien\Macrovision Shared
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-14 12:15 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\WinZip
2008-10-14 11:46 --------- d-----w c:\programme\Trend Micro
2008-10-14 11:16 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-10-14 11:14 --------- d-----w c:\programme\My Company Name
2008-10-14 11:14 --------- d-----w c:\programme\ASUS
2008-10-14 11:12 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2008-10-14 11:10 --------- d-----w c:\programme\Attansic
2008-10-14 11:08 315,392 ----a-w c:\windows\HideWin.exe
2008-10-14 11:08 --------- d-----w c:\programme\Realtek
2008-10-14 10:54 --------- d-----w c:\programme\Intel
2008-10-14 10:47 --------- d-----w c:\programme\Online-Dienste
2008-10-14 10:47 --------- d-----w c:\programme\microsoft frontpage
2008-10-14 10:46 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-15 15:37 1,846,144 ----a-w c:\windows\system32\win32k.sys
2008-09-04 16:43 1,106,944 ----a-w c:\windows\system32\msxml3.dll
2008-08-20 05:35 665,088 ----a-w c:\windows\system32\wininet.dll
2006-06-23 22:48 32,768 ----a-r c:\windows\inf\UpdateUSB.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2006-02-28 15360]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" [2008-02-28 1828136]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-06-28 8466432]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-06-28 81920]
"Acrobat Assistant 8.0"="e:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 624248]
"Adobe_ID0EYTHM"="c:\progra~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE" [2007-03-20 1884160]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2008-02-28 570664]
"NBKeyScan"="c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-02-18 2221352]
"HotKey"="c:\windows\Twain_32\SlimU2TA\HotKey.exe" [2004-01-06 610304]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"RTHDCPL"="RTHDCPL.EXE" [2007-03-21 c:\windows\RTHDCPL.exe]
"nwiz"="nwiz.exe" [2007-06-28 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-02-28 15360]

c:\dokumente und einstellungen\aero\Startmen\Programme\Autostart\
OpenOffice.org 2.3.lnk - c:\programme\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 393216]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server
"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server
"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server

R3 asusgsb;ASUS Virtual Video Capture Device Driver;c:\windows\system32\drivers\asusgsb.sys [2008-10-14 12416]
R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\DRIVERS\atl01_xp.sys [2008-10-14 38656]
R3 Video3D;ASUS Video3D Service;c:\windows\system32\Drivers\Video3D32.sys [2008-10-14 10752]
S3 HDJCtrl;Hercules DJ Control MP3 Service;c:\windows\system32\Drivers\HDJCtrl.sys [2008-10-18 11008]
S3 HDJMidi;Hercules DJ Console MIDI;c:\windows\system32\DRIVERS\HDJMidi.sys [2008-10-18 39424]

*Newly Created Service* - PROCEXP90

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}]
c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-ASUSGamerOSD - c:\program files\ASUS\GamerOSD\GamerOSD.exe

.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\aero\Anwendungsdaten\Mozilla\Firefox\Profiles\rqf80acg.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.de
FF -: plugin - c:\programme\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - e:\programme\Adobe\Acrobat 8.0\Acrobat\browser\nppdf32.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-20 00:21:47
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-11-20 0:23:02
ComboFix-quarantined-files.txt 2008-11-19 23:22:26

Vor Suchlauf: 9 Verzeichnis(se), 92.129.665.024 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 92,297,674,752 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptOut

196 --- E O F --- 2008-11-19 17:47:42

Besten Dank im voraus!!!
Ich hoffe da kann jemand was mit anfangen...

pc-willi · 20.11.2008, 11:35

Ich habs wohl nur zufällig gemerkt und auch behoben.
Mein PC hat ein anderes Problem.
Deshalb habe ich Antivir deinstalliert und mir die Freeware Antivir Workstation gezogen.
Nach der Installation hate ich folgende Meldungen
--TR/cryptXPack.gen - ist von AV entfernt worden.
--dr/delphi.gen - ist von AV entfernt worden.
--dr/autoit.cl - ist von AV entfernt worden.
--tr/keygen.fv - ist von AV entfernt worden.
--tr/keygen.fw - ist von AV entfernt worden.

ander kann Ich Dir nicht helfen
viel Erfolg
willi

Peter0251 · 22.11.2008, 12:54

ne willi, ich mein was anderes...
wenn er nicht aktiv ist findet avira ihn nicht.
er ist auf meiner externen!!!

also nochmal die frage:

wie bekomme ich den 'TR/Crypt.XPACK.Gen' von meiner externen???

danke

'TR/Crypt.XPACK.Gen' Springt auf Wechseldatenträger

Plagegeister aller Art und deren Bekämpfung: 'TR/Crypt.XPACK.Gen' Springt auf Wechseldatenträger