Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Crypt.XPACK.Gen TROJANER

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 25.12.2008, 15:07   #1
funeral
 
TR/Crypt.XPACK.Gen TROJANER - Icon21

TR/Crypt.XPACK.Gen TROJANER



Hallo,

mein antivirus meldet immer einen Trojaner: TR/Crypt.XPACK.Gen wenn ich auf Firefox drücke. also ins internet gehe. desweiteren kommt die meldung öfters während der pc an ist.
habe den CCleaner durchlaufen lassen, und malwarebytes.. findet zwar infizierte objekte aber anscheinend nicht den trojaner. beim virenscan mit antivir findet er auch nichts.
wie bekomme ich den trojaner wieder weg?
hier die logfile von hijackthis (kenne mich damit leider nicht so aus):

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:02:35, on 25.12.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\SSS\SimpleScreenshot.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Uniblue\SpyEraser\SpyEraser.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe
C:\Program Files\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe
C:\Program Files\ICQ6\ICQ.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http*://go*.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http*://ww*w.yodl.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http*://go*.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http*://go.*microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http:*//go.*microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http:*//go.*microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.4.2\gears.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SimpleScreenshot] C:\PROGRA~1\SSS\SIMPLESCREENSHOT.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] c:\program files\uniblue\registrybooster 2\StartRegistryBooster.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Uniblue SpeedUpMyPC] C:\Program Files\Uniblue\SpeedUpMyPC 3\StartSUMP2.exe
O4 - HKCU\..\Run: [Uniblue SpyEraser] "C:\Program Files\Uniblue\SpyEraser\SpyEraser.exe" -m
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'Default user')
O4 - Startup: AutorunsDisabled
O4 - Global Startup: AutorunsDisabled
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.4.2\gears.dll
O9 - Extra 'Tools' menuitem: &Gears-Einstellungen - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.4.2\gears.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1c91c9a3b4bc042) (gupdate1c91c9a3b4bc042) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

--
End of file - 7147 bytes

Alt 25.12.2008, 18:24   #2
john.doe
 
TR/Crypt.XPACK.Gen TROJANER - Standard

TR/Crypt.XPACK.Gen TROJANER



Hallo und

1.) Deinstalliere folgende Programme (Start => Systemsteuerung => Software):
Code:
ATTFilter
Windows Defender
Uniblue SpyEraser
         
Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:
HTML-Code:
[code] Hier das Logfile rein! [/code]
2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Blacklight ausführen und Logfile posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

4.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

5.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe
Editiere die Links und privaten Infos!!

Frohe Weihnachten, andreas
__________________


Alt 25.12.2008, 19:49   #3
funeral
 
TR/Crypt.XPACK.Gen TROJANER - Standard

TR/Crypt.XPACK.Gen TROJANER



hier die blacklight logfile

Code:
ATTFilter
 12/25/08 19:33:39 [Info]: BlackLight Engine 2.2.1092 initialized
12/25/08 19:33:39 [Info]: OS: 6.0 build 6001 (Service Pack 1)
12/25/08 19:33:39 [Note]: 7019 4
12/25/08 19:33:39 [Note]: 7005 0
12/25/08 19:35:52 [Note]: 7006 0
12/25/08 19:35:52 [Note]: 7027 0
12/25/08 19:35:52 [Note]: 7035 0
12/25/08 19:35:52 [Note]: 7026 0
12/25/08 19:35:53 [Note]: 7026 0
12/25/08 19:35:54 [Note]: FSRAW library version 1.7.1024
12/25/08 19:40:07 [Note]: 7007 0
         
__________________

Alt 25.12.2008, 20:15   #4
funeral
 
TR/Crypt.XPACK.Gen TROJANER - Standard

TR/Crypt.XPACK.Gen TROJANER



Zitat:
Zitat von funeral Beitrag anzeigen
hier die blacklight logfile

Code:
ATTFilter
 12/25/08 19:33:39 [Info]: BlackLight Engine 2.2.1092 initialized
12/25/08 19:33:39 [Info]: OS: 6.0 build 6001 (Service Pack 1)
12/25/08 19:33:39 [Note]: 7019 4
12/25/08 19:33:39 [Note]: 7005 0
12/25/08 19:35:52 [Note]: 7006 0
12/25/08 19:35:52 [Note]: 7027 0
12/25/08 19:35:52 [Note]: 7035 0
12/25/08 19:35:52 [Note]: 7026 0
12/25/08 19:35:53 [Note]: 7026 0
12/25/08 19:35:54 [Note]: FSRAW library version 1.7.1024
12/25/08 19:40:07 [Note]: 7007 0
         


ComboFix Logfile

Code:
ATTFilter
 ComboFix 08-12-24.01 - Schnucki666 2008-12-25 19:56:27.1 - NTFSx86
Microsoft® Windows Vista™ Home Premium   6.0.6001.1.1252.1.1031.18.2047.1154 [GMT 1:00]
ausgeführt von:: c:\users\Schnucki666\Desktop\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
c:\windows\system32\drivers\msqpdxmbcbcrrx.sys
c:\windows\system32\msqpdxwqsctmei.dll
D:\Autorun.inf
D:\resycled
d:\resycled\boot.com

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_MSQPDXSERV.SYS
-------\Legacy_ISODRIVE
-------\Service_ISODrive


(((((((((((((((((((((((   Dateien erstellt von 2008-11-25 bis 2008-12-25  ))))))))))))))))))))))))))))))
.

2008-12-25 15:02 . 2008-12-25 15:02	<DIR>	d--------	c:\program files\Trend Micro
2008-12-25 14:33 . 2008-12-25 14:33	<DIR>	d--------	c:\program files\CCleaner
2008-12-24 07:23 . 2008-12-24 07:23	41,984	--a------	c:\windows\System32\msqpdxwqsctmei.VIR
2008-12-20 11:51 . 2008-12-20 11:51	<DIR>	d--------	c:\users\Schnucki666\AppData\Roaming\Malwarebytes
2008-12-20 11:51 . 2008-12-03 19:52	15,504	--a------	c:\windows\System32\drivers\mbam.sys
2008-12-20 11:50 . 2008-12-20 11:50	<DIR>	d--------	c:\users\All Users\Malwarebytes
2008-12-20 11:50 . 2008-12-20 11:50	<DIR>	d--------	c:\programdata\Malwarebytes
2008-12-20 11:50 . 2008-12-20 11:51	<DIR>	d--------	c:\program files\Malwarebytes' Anti-Malware
2008-12-20 11:50 . 2008-12-03 19:52	38,496	--a------	c:\windows\System32\drivers\mbamswissarmy.sys
2008-12-18 19:37 . 2008-12-18 21:45	<DIR>	d--------	c:\program files\DiskInternals
2008-12-09 19:31 . 2008-10-22 02:22	2,048	--a------	c:\windows\System32\tzres.dll
2008-12-09 19:18 . 2008-11-01 02:21	4,240,384	--a------	c:\windows\System32\GameUXLegacyGDFs.dll
2008-12-09 19:18 . 2008-11-01 04:44	28,672	--a------	c:\windows\System32\Apphlpdm.dll
2008-12-09 19:17 . 2008-10-21 06:25	296,960	--a------	c:\windows\System32\gdi32.dll
2008-12-09 19:09 . 2008-10-29 07:29	2,927,104	--a------	c:\windows\explorer.exe
2008-12-09 19:09 . 2008-10-16 05:47	827,392	--a------	c:\windows\System32\wininet.dll
2008-12-09 19:08 . 2008-06-23 02:59	2,868,736	--a------	c:\windows\System32\mf.dll
2008-12-09 19:08 . 2008-06-23 02:59	996,352	--a------	c:\windows\System32\WMNetMgr.dll
2008-12-09 19:08 . 2008-06-23 02:58	94,720	--a------	c:\windows\System32\logagent.exe
2008-12-06 19:31 . 2008-12-06 19:31	<DIR>	d--h-----	C:\BJPrinter
2008-11-26 10:12 . 2008-08-28 04:40	425,472	--a------	c:\windows\System32\PhotoMetadataHandler.dll
2008-11-26 10:12 . 2008-10-22 04:57	241,152	--a------	c:\windows\System32\PortableDeviceApi.dll
2008-11-26 10:11 . 2008-10-21 06:25	1,645,568	--a------	c:\windows\System32\connect.dll
2008-11-26 10:11 . 2008-08-28 04:40	712,704	--a------	c:\windows\System32\WindowsCodecs.dll
2008-11-26 10:11 . 2008-08-28 04:40	347,136	--a------	c:\windows\System32\WindowsCodecsExt.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-25 18:18	---------	d---a-w	c:\programdata\TEMP
2008-12-20 20:25	---------	d-----w	c:\users\Schnucki666\AppData\Roaming\Desktopicon
2008-12-19 17:26	---------	d-----w	c:\users\Schnucki666\AppData\Roaming\ICQ
2008-12-18 20:42	---------	d-----w	c:\program files\Ulead Systems
2008-12-18 20:39	---------	d--h--w	c:\program files\InstallShield Installation Information
2008-12-18 20:39	---------	d-----w	c:\program files\CyberLink
2008-12-09 21:46	---------	d-----w	c:\program files\Windows Mail
2008-12-01 16:19	---------	d-----w	c:\program files\Google
2008-11-24 07:19	---------	d-----w	c:\program files\Mozilla Thunderbird
2008-11-21 16:51	---------	d-----w	c:\users\Schnucki666\AppData\Roaming\Winamp
2008-11-21 13:30	---------	d-----w	c:\program files\Winamp
2008-11-20 20:34	---------	d-----w	c:\program files\DivX
2008-11-14 16:03	---------	d-----w	c:\programdata\CyberLink
2008-11-14 16:02	---------	d-----w	c:\users\Schnucki666\AppData\Roaming\CyberLink
2008-11-06 20:53	---------	d-----w	c:\program files\Common Files\NEC
2008-11-06 19:19	---------	d-----w	c:\program files\Microtek
2008-11-06 19:19	---------	d-----w	c:\program files\Common Files\InstallShield
2008-11-01 03:44	541,696	----a-w	c:\windows\AppPatch\AcLayers.dll
2008-11-01 03:44	52,736	----a-w	c:\windows\AppPatch\iebrshim.dll
2008-11-01 03:44	460,288	----a-w	c:\windows\AppPatch\AcSpecfc.dll
2008-11-01 03:44	2,154,496	----a-w	c:\windows\AppPatch\AcGenral.dll
2008-11-01 03:44	173,056	----a-w	c:\windows\AppPatch\AcXtrnal.dll
2008-10-26 01:25	---------	d-----w	c:\programdata\FLEXnet
2008-07-20 09:10	174	--sha-w	c:\program files\desktop.ini
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Uniblue RegistryBooster 2"="c:\program files\uniblue\registrybooster 2\StartRegistryBooster.exe" [2008-05-16 99608]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2008-01-22 152872]
"Uniblue SpeedUpMyPC"="c:\program files\Uniblue\SpeedUpMyPC 3\StartSUMP2.exe" [2008-04-02 156952]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SimpleScreenshot"="c:\progra~1\SSS\SIMPLESCREENSHOT.EXE" [2005-04-14 962048]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2008-05-28 570664]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2008-07-03 185896]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2008-08-04 36352]
"Skytel"="Skytel.exe" [2007-06-15 c:\windows\SkyTel.exe]
"RtHDVCpl"="RtHDVCpl.exe" [2007-07-06 c:\windows\RtHDVCpl.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2008-02-26 443968]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled
Ulead Photo Express SE Calendar Checker.lnk - c:\program files\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe [2008-11-26 61440]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"TCP Query User{A46170E2-2F89-407F-AB03-0D5D53474D7B}c:\\program files\\icq6\\icq.exe"= UDP:c:\program files\icq6\icq.exe:ICQ Library
"UDP Query User{4930B03D-7E2A-4D46-A031-E5B4EF8E3C9F}c:\\program files\\icq6\\icq.exe"= TCP:c:\program files\icq6\icq.exe:ICQ Library
"{A186FDDF-0919-4DE8-9718-9BBB2C6B3AB6}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{4000FD89-6360-4C21-863F-31B3853FDF67}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{6990DE47-37A3-4317-96BB-74E50986AC9F}"= UDP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{B8AC82A3-F25C-4E0D-BF87-E93F80606DFB}"= TCP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour

R2 Vcs;Vcs support;\??\c:\windows\system32\Drivers\Vcs.sys [2008-09-08 6852]
S2 gupdate1c91c9a3b4bc042;Google Update Service (gupdate1c91c9a3b4bc042);"c:\program files\Google\Update\GoogleUpdate.exe" /svc [2008-09-22 133104]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5e80dbf5-47a1-11dd-a5f2-806e6f6e6963}]
\shell\AutoRun\command - F:\start.exe
.
Inhalt des "geplante Tasks" Ordners

2008-12-25 c:\windows\Tasks\GoogleUpdateTaskMachine.job
- c:\program files\Google\Update\GoogleUpdate.exe [2008-09-22 11:01]

2008-07-28 c:\windows\Tasks\Uniblue SpyEraser.job
- c:\program files\Uniblue\SpyEraser\SpyEraser.exe []
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-NWEReboot - (no file)



**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-25 20:01:38
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\Ati2evxx.exe
c:\windows\System32\audiodg.exe
c:\windows\System32\Ati2evxx.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\windows\System32\agrsmsvc.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\System32\conime.exe
c:\combofix\hidec.exe
c:\program files\SSS\SimpleScreenshot.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\Common Files\Ahead\Lib\NMIndexingService.exe
c:\program files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
c:\windows\servicing\TrustedInstaller.exe
c:\combofix\Catchme.tmp
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-12-25 20:10:10 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-12-25 19:08:38

Vor Suchlauf: 9,482,903,552 Bytes frei
Nach Suchlauf: 9,296,572,416 Bytes frei

150	--- E O F ---	2008-12-23 18:39:32
         


hijackthis

Code:
ATTFilter
 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:20:27, on 25.12.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\SSS\SimpleScreenshot.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Windows\Explorer.exe
C:\Users\Schnucki666\Downloads\qlketzd.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*ww.yodl.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = htt*p://go.*microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*ttp://go*.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = htt*p://go*.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h*ttp://go.*microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.4.2\gears.dll
O4 - HKLM\..\Run: [SimpleScreenshot] C:\PROGRA~1\SSS\SIMPLESCREENSHOT.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] c:\program files\uniblue\registrybooster 2\StartRegistryBooster.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Uniblue SpeedUpMyPC] C:\Program Files\Uniblue\SpeedUpMyPC 3\StartSUMP2.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'Default user')
O4 - Startup: AutorunsDisabled
O4 - Global Startup: AutorunsDisabled
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.4.2\gears.dll
O9 - Extra 'Tools' menuitem: &Gears-Einstellungen - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.4.2\gears.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix: 
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1c91c9a3b4bc042) (gupdate1c91c9a3b4bc042) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

--
End of file - 5814 bytes
         

habe jetzt alles gemacht, bei dem ComboFix kam noch eine meldung nach dem der pc neugestartet ist, dass das programm nicht mehr reagieren würde und geschlossen werden muss. stand dann halt der button programm schließen. bin ich auch drauf gegangen. ist aber nichts passiert der hat das ganz normal beendet. nicht sofort geschlossen.

is domains are in this file, hijackthis may NOT be able to fix this.
if that happens, you need to edit the file yourself. to do thi, click start, run and type.
notepad C:\windows\system32\drivers\etc\hosts
and press enter. find the line(s) hijackthis reports and delete them. save the file as 'hosts.' (with quotes), and reboot.

for vista: simply exit hijackthis, right click on the HijackThis icon, choose run as administrator.

naja dann ok drücken und der scant es. aber wenn ich rechts klicke auf die datei steht da garnich mehr mit adminstrator durchführen.

wenn ich jetzt auf den firefox klicke, ist der virus weg. also kommt keine meldung mehr.

desweiteren hab ich jetzt noch ne frage, und zwar glaube ich seit dem das mit dem virus war, hat sich mein ordner "bilder" in pictures umbenennt... hat das was damit zu tun? halt auf englisch gestellt aber steht noch alles auf deutsch. nur der eine ordner nicht.

Geändert von funeral (25.12.2008 um 20:36 Uhr)

Alt 25.12.2008, 20:35   #5
john.doe
 
TR/Crypt.XPACK.Gen TROJANER - Standard

TR/Crypt.XPACK.Gen TROJANER



ComboFix hat einiges gefunden. Du hast mehr als nur ein Problem.

Desinfizierung/Absicherung externer Medien:

Lade Dir den Flash Disinfector von sUBs und speichere Flash_Disinfector.exe auf Deinem Desktop ab.
Gehe nun wie folgt vor:
  1. Trenne den Rechner physikalisch vom Netz.
  2. Deaktiviere den Hintergrundwächter deines AVP.
  3. Schließe jetzt alle externe Datenträgeran Deinen Rechner an.
  4. Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
  5. Wenn der Scan zuende ist, kannst du das Programm schließen.
  6. Starte Deinen Rechner neu.
Hinweis:
Flash Disinfector desinfiziert all Deine Laufwerke von Autoruninfektionen und erstellt einen versteckten Ordner mit demselben Namen, sodass Dein Datenträger in Zukunft vor dieser Infektion geschützt ist.
Während dem Scan wird Dein Desktop kurzfristig verschwinden und dann wiederkommen. Das ist normal.

Edit zu deinem Edit:
Öffne die Datei C:\windows\system32\drivers\etc\hosts mit notepad und poste sie hier.

Zitat:
desweiteren hab ich jetzt noch ne frage, und zwar glaube ich seit dem das mit dem virus war, hat sich mein ordner "bilder" in pictures umbenennt... hat das was damit zu tun?
Gut möglich.

Räumen wir auf:
Start => Ausführen => combofix /u (aufs Leerzeichen achten) => OK

Alle Programme, die wir benutzt haben können deinstalliert/gelöscht werden. Empfehlen würde ich die Deinstallation von Google- und Uniblue-Gelumpe.

Starte HJT => Do a system scan only => Markiere:
Code:
ATTFilter
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
         
=> Fix checked

ciao, andreas


Geändert von john.doe (25.12.2008 um 20:56 Uhr)

Alt 25.12.2008, 21:21   #6
funeral
 
TR/Crypt.XPACK.Gen TROJANER - Standard

TR/Crypt.XPACK.Gen TROJANER



so habe jetzt alles gemacht. und die programme deinstalliert.

in dieser host datei stand:

127.0.0.1 localhost


hast du jetzt irgendeine empfehlung wie ich den pc auf stand halten kann, also das sowas nicht noch mal passiert. reicht da antivir?

und vielen dank schon mal

Alt 25.12.2008, 21:31   #7
john.doe
 
TR/Crypt.XPACK.Gen TROJANER - Standard

TR/Crypt.XPACK.Gen TROJANER



Zitat:
reicht da antivir?
Ja, aber es schützt dich nicht, es unterstützt dich nur. Zusätzlich ist noch Antimalware bei Verdacht angesagt.

Auch wenn es niemand hören möchte, du musst dein Verhalten ändern. Programme können dich nicht vor dir selbst beschützen.

Hier ist der perfekte Schutz beschrieben: Homepage von Malte J. Wetz

ciao, andreas

Alt 25.12.2008, 21:34   #8
funeral
 
TR/Crypt.XPACK.Gen TROJANER - Standard

TR/Crypt.XPACK.Gen TROJANER



ja alles klar,
vielen dank hast mir echt geholfen

Antwort

Themen zu TR/Crypt.XPACK.Gen TROJANER
adobe, agere systems, antivirus, avg, avira, bho, bonjour, computer, defender, excel, firefox, google, google update, gupdate, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, mozilla, picasa, rundll, scan, software, speedupmypc, system, tr/crypt.xpack.ge, tr/crypt.xpack.gen, trojane, trojaner, vista, wieder weg, windows, windows defender, windows sidebar




Ähnliche Themen: TR/Crypt.XPACK.Gen TROJANER


  1. Probleme mit .NET Framework, windows update und Systemwiederherstellung, Trojaner TR/Crypt.XPACK.Gen8, TR/Crypt.ULPM.Gen
    Plagegeister aller Art und deren Bekämpfung - 23.09.2012 (11)
  2. Trojaner TR/Crypt.XPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 04.08.2012 (43)
  3. TR/Crypt.XPACK.Gen, TR/Sirefef.BV.2, TR/Crypt.XPACK.Gen3, TR/PSW.Karagany.A.73
    Plagegeister aller Art und deren Bekämpfung - 15.02.2012 (2)
  4. TR/Crypt.XPACK.Gen3 - nach formatierung von C: TR/Crypt.XPACK.Gen2 gefunden
    Plagegeister aller Art und deren Bekämpfung - 17.10.2010 (9)
  5. TR/Crypt.XPACK.Gen3, TR/Crypt.XPACK.Gen2
    Plagegeister aller Art und deren Bekämpfung - 10.10.2010 (4)
  6. Befall mit TR/Crypt.XPACK.Gen und TR/Crypt.XPACK.Gen3
    Plagegeister aller Art und deren Bekämpfung - 21.09.2010 (23)
  7. TR/Dropper.gen und TR/Crypt.XPACK.Gen und TR/Crypt.XPACK.Gen2 und TR/Dldr.Agent.cxyf.3
    Plagegeister aller Art und deren Bekämpfung - 29.07.2010 (32)
  8. Trojaner TR/Vundo.Gen TR/Crypt.XPACK.Gen TR/Crypt.Morphine.Gen
    Log-Analyse und Auswertung - 09.04.2010 (4)
  9. Massives Trojaner Problem TR/Crypt.XPACK.Gen TR/dropper.Gen TR/Crypt.ASPM.Gen
    Plagegeister aller Art und deren Bekämpfung - 21.03.2010 (1)
  10. 3 Trojaner: TR/FraudPack.240128 TR/Crypt.XPACK.Gen TR/Crypt.ZPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 10.01.2010 (1)
  11. Heftiger Trojaner Befall Crypt.XPACK.Gen/Click.YABECTOR.B.1/ Crypt.PEPM.Gen
    Log-Analyse und Auswertung - 28.12.2009 (1)
  12. TR/Crypt.XPACK.Gen Trojaner
    Mülltonne - 25.12.2008 (0)
  13. Trojaner TR/Crypt.XPACK.Gen
    Log-Analyse und Auswertung - 21.12.2008 (3)
  14. Trojaner TR/Crypt.XPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 20.12.2008 (1)
  15. Trojaner / Crypt XPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 17.11.2008 (2)
  16. Trojaner: Crypt.XPACK.Gen
    Log-Analyse und Auswertung - 21.10.2008 (6)
  17. Trojaner TR/Vundo.Gen TR/Crypt.XPACK.Gen TR/Crypt.Morphine.Gen
    Mülltonne - 25.08.2008 (0)

Zum Thema TR/Crypt.XPACK.Gen TROJANER - Hallo, mein antivirus meldet immer einen Trojaner: TR/Crypt.XPACK.Gen wenn ich auf Firefox drücke. also ins internet gehe. desweiteren kommt die meldung öfters während der pc an ist. habe den CCleaner - TR/Crypt.XPACK.Gen TROJANER...
Archiv
Du betrachtest: TR/Crypt.XPACK.Gen TROJANER auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.