TR/Crypt.XPACK.Gen hat mich erwischt!

agro · 23.02.2009, 16:00

Hallo zusammen,

ich weiss, dass dieser TR des öfteren hier behandelt wurde, aber ich habe auch gesehen, dass er auf allen Systemen verschieden ist.
Bei mir hat AntiVir Premium ihn heute entdeckt. Ich habe einen Komplettscan gemacht und dann die gefundenen Dateiorte in Quarantäne verschoben.

Er wird bei mir an folgenden Stellen angezeigt:

E:\System Volume Information\_restore{CBC...
C:\Programme\Gemeinsame Dateien\Acronis\Common\gc.dll

Ich möchte jetzt nichts verkehrt machen und vertraue auf eure wie ich hoffe kompetente Hilfe.

Vielen Dank im Voraus

Agro

23.02.2009, 19:23

Hallo und ,
Lad dir zunächst folgende Programme runter: Ccleaner, HiJackThis und Malwarebytes Anti-Malware.
Hier die anleitungen:
http://www.trojaner-board.de/51464-anleitung-ccleaner.html
http://www.trojaner-board.de/51130-anleitung-hijackthis.html
http://www.trojaner-board.de/51187-anleitung-malwarebytes-anti-malware.html
Anleitung genau durchlesen und die Log´s Posten.
VooDoo

agro · 24.02.2009, 12:57

Zitat:

Zitat von Voo.Doo

Hallo und ,
Lad dir zunächst folgende Programme runter: Ccleaner, HiJackThis und Malwarebytes Anti-Malware.
Hier die anleitungen:
http://www.trojaner-board.de/51464-anleitung-ccleaner.html
http://www.trojaner-board.de/51130-anleitung-hijackthis.html
http://www.trojaner-board.de/51187-anleitung-malwarebytes-anti-malware.html
Anleitung genau durchlesen und die Log´s Posten.
VooDoo

Hallo,

hier sind die Reports der Scans die ich durchgeführt habe.

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:33:53, on 24.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
E:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
E:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
E:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
E:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\system32\cjpcsc.exe
e:\Programme\Videoload Manager\ContentManager.exe
C:\Programme\T-Mobile\web'n'walk Manager\GtDetectSc.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
E:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\Programme\Hotkey Management\FuncKey.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
E:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Power Manager\PM.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Atheros\ACU.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\Rainlendar2\Rainlendar2.exe
E:\Programme\Microsoft ActiveSync\Wcescomm.exe
E:\PROGRA~2\MICROS~2\rapimgr.exe
E:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
E:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
C:\WINDOWS\System32\wbem\wmiapsrv.exe
E:\Programme\Microsoft Office\Office12\OUTLOOK.EXE
E:\Programme\Adobe\Reader 9.0\Reader\pdfprevhndlrshim.exe
E:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.musicload.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Download Manager Browser Helper Object - {19C8E43B-07B3-49CB-BFFC-6777B593E6F8} - C:\PROGRA~1\GEMEIN~1\fluxDVD\DOWNLO~1\XEBDLH~1.DLL
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avgnt] "E:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [FuncKey] "C:\Programme\Hotkey Management\FuncKey.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] E:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] E:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [PowerManager] C:\Programme\Power Manager\PM.exe
O4 - HKLM\..\Run: [ALDI Foto Service] "E:\Programme\ALDI Foto Service Nord\ALDI_Foto_Service\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [ALDI_NORD_FotoSuite_Download] "E:\Programme\ALDI Foto Service Nord\ALDI_Foto_Service\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [ACU] "C:\Programme\Atheros\ACU.exe" -nogui
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Rainlendar2] e:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "E:\Programme\Microsoft ActiveSync\Wcescomm.exe"
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Mit ScanSoft PDF Converter 4.0 öffnen - res://E:\Programme\ScanSoft\PDF Professional 4.0\cnvres_ger.dll /100
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://E:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~2\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~2\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~2\MICROS~2\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~2\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - h**p://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - h**p://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetupSP1 Control) - h**ps://juniper.net/dana-cached/setup/JuniperSetupSP1.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D698FA4-B6E4-4BF5-B202-59BDCF1119B9}: NameServer = 192.168.2.1
O18 - Protocol: fluxhttp - {8E2D00A0-82C6-4821-90BC-07F290841BB6} - C:\Programme\Gemeinsame Dateien\fluxDVD\Lib\XEB\xebnavigation.ax
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - E:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Atheros-Konfigurationsdienst (acs) - Atheros - C:\WINDOWS\system32\acs.exe
O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: Avira AntiVir Premium Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
O23 - Service: Avira AntiVir Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: cyberJack PC/SC COM Service  (cjpcsc) - REINER SCT - C:\WINDOWS\system32\cjpcsc.exe
O23 - Service: Content Management Service (ContentMgrService) - ACE GmbH - e:\Programme\Videoload Manager\ContentManager.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - E:\Programme\ALDI Foto Service Nord\Common\Database\bin\fbserver.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: GtDetectSc - Option - C:\Programme\T-Mobile\web'n'walk Manager\GtDetectSc.exe
O23 - Service: Google Update Service (gupdate1c986b02f23a100) (gupdate1c986b02f23a100) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 9572 bytes

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1795
Windows 5.1.2600 Service Pack 3

24.02.2009 12:09:28
mbam-log-2009-02-24 (12-09-28).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 248292
Laufzeit: 1 hour(s), 10 minute(s), 17 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

und der Report von Antivir Premium von gestern Morgen.

Code:

ATTFilter

Avira AntiVir Premium
Erstellungsdatum der Reportdatei: Montag, 23. Februar 2009  10:05

Es wird nach 1258799 Virenstämmen gesucht.

Lizenznehmer:     Hermann Niehus
Seriennummer:     2200980840-PEPWE-0001
Plattform:        Windows XP
Windowsversion:   (Service Pack 3)  [5.1.2600]
Boot Modus:       Normal gebootet
Benutzername:     SYSTEM
Computername:     HERMANNFSC

Versionsinformationen:
BUILD.DAT     : 8.2.0.374      20012 Bytes  21.11.2008 10:11:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  25.11.2008 12:16:07
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  18.07.2008 11:04:58
LUKE.DLL      : 8.1.4.5       164097 Bytes  18.07.2008 11:04:58
LUKERES.DLL   : 8.1.4.0        12545 Bytes  18.07.2008 11:04:58
ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  27.10.2008 12:05:45
ANTIVIR1.VDF  : 7.1.2.12     3336192 Bytes  11.02.2009 18:34:28
ANTIVIR2.VDF  : 7.1.2.55      248832 Bytes  20.02.2009 08:39:24
ANTIVIR3.VDF  : 7.1.2.59        9728 Bytes  21.02.2009 08:39:24
Engineversion : 8.2.0.87  
AEVDF.DLL     : 8.1.1.0       106868 Bytes  30.01.2009 18:23:07
AESCRIPT.DLL  : 8.1.1.47      348539 Bytes  14.02.2009 12:23:58
AESCN.DLL     : 8.1.1.7       127347 Bytes  14.02.2009 12:23:58
AERDL.DLL     : 8.1.1.3       438645 Bytes  05.11.2008 12:36:15
AEPACK.DLL    : 8.1.3.8       397684 Bytes  05.02.2009 12:08:35
AEOFFICE.DLL  : 8.1.0.33      196987 Bytes  12.12.2008 12:04:00
AEHEUR.DLL    : 8.1.0.97     1610103 Bytes  22.02.2009 08:39:26
AEHELP.DLL    : 8.1.2.0       119159 Bytes  19.11.2008 12:03:12
AEGEN.DLL     : 8.1.1.20      336245 Bytes  22.02.2009 08:39:25
AEEMU.DLL     : 8.1.0.9       393588 Bytes  15.10.2008 11:03:49
AECORE.DLL    : 8.1.6.6       176501 Bytes  18.02.2009 14:30:03
AEBB.DLL      : 8.1.0.3        53618 Bytes  15.10.2008 11:03:47
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  18.07.2008 11:04:58
AVPREF.DLL    : 8.0.2.0        38657 Bytes  18.07.2008 11:04:58
AVREP.DLL     : 8.0.0.2        98344 Bytes  01.08.2008 11:03:39
AVREG.DLL     : 8.0.0.1        33537 Bytes  18.07.2008 11:04:58
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12.02.2008 08:29:19
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  18.07.2008 11:04:58
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  22.01.2008 17:28:02
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  18.07.2008 11:04:58
NETNT.DLL     : 8.0.0.1         7937 Bytes  25.01.2008 12:05:07
RCIMAGE.DLL   : 8.0.0.51     2564353 Bytes  18.07.2008 11:04:55
RCTEXT.DLL    : 8.0.51.0       90369 Bytes  18.07.2008 11:04:55

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: e:\programme\avira\antivir personaledition premium\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:, F:, 
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Montag, 23. Februar 2009  10:05

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'guardgui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avwebgrd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rapimgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcescomm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Rainlendar2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACU.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLanGUI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'schedhlp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TimounterMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrueImageMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FuncKey.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TUProgSt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GtDetectSc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ContentManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cjpcsc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLanNetService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avesvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'schedul2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'acs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'scardsvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '52' Prozesse mit '52' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'F:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '60' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Programme\Gemeinsame Dateien\Acronis\Common\gc.dll
    [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
    [WARNUNG]   Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
    [WARNUNG]   Die Datei konnte nicht gelöscht werden!
    [HINWEIS]   Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b8cc8b0.qua' verschoben!
Beginne mit der Suche in 'D:\' <Eigene Dateien>
Beginne mit der Suche in 'E:\' <Programme>
E:\Programme\Acronis\TrueImageHome\spawn.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a037228.qua' verschoben!
E:\System Volume Information\_restore{CBC14E52-348E-4EEC-BBDD-7CC55319FB84}\RP182\A0047219.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d276d7.qua' verschoben!
Beginne mit der Suche in 'F:\' <Sonstiges>


Ende des Suchlaufs: Montag, 23. Februar 2009  11:16
Benötigte Zeit:  1:11:39 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  15981 Verzeichnisse wurden überprüft
 619236 Dateien wurden geprüft
      3 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      3 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 619231 Dateien ohne Befall
  17826 Archive wurden durchsucht
      3 Warnungen
      3 Hinweise

Ich hoffe, dass das bei der Lösungsfindung hilft. Was mich auch noch interessiert, ist, über welchen Weg der Trojaner sich bei mir eingeschlichen hat. Weiss das jemand (Also bestimmte Softwaredownloads, über einen Port oder ähnliches.)? Ich möchte nicht mit großem Aufwand den Fehler beheben müssen und mache den ganzen Sch...ß durch Installation eines Progs noch mal.

Danke erst mal für weitere Hilfe!!

AGRO

agro · 24.02.2009, 14:14

Ich habe jetzt auch noch einen Onlinescan mit F-Secure gemacht.
Hier der Bericht:

Scanning Report
Tuesday, February 24, 2009 13:42:29 - 14:08:50

Computer name: HERMANNFSC
Scanning type: Scan system for malware, rootkits
Target: C:\ D:\ E:\ F:\
Result: 1 malware found
RemoteAdmin.Win32.WinVNC (spyware)

* System

Statistics
Scanned:

* Files: 19695
* System: 3478
* Not scanned: 8

Actions:

* Disinfected: 0
* Renamed: 0
* Deleted: 0
* None: 1
* Submitted: 0

Files not scanned:

* C:\HIBERFIL.SYS
* C:\PAGEFILE.SYS
* C:\WINDOWS\TEMPFILE
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
* C:\WINDOWS\SYSTEM32\CONFIG\SAM
* C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
* C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
* C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM

Options
Scanning engines:

* F-Secure USS: 3.0.0
* F-Secure Blacklight: 0.0.0
* F-Secure Hydra: 3.6.8511, 2009-02-24
* F-Secure Pegasus: 1.20.0, 1970-00-01
* F-Secure AVP: 7.0.171, 2009-02-24

Scanning options:

* Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JOB LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
* Use Advanced heuristics

agro · 24.02.2009, 20:41

Achtung:

Bei dem Fund von gestern Morgen durch Antivir Premium handelt es sich laut Avira um einen Fehlalarm. Bitte vergewissert euch auf der Homepage von Antivir im Forum dass dies bei der angegebenen Fundstelle so ist. Die .vdf von heute schlägt schon keinen Alarm mehr. Ich habe die Datei aus der Quarantäne wiederhergestellt und es gibt nach jetzigem Stand keine Virusmeldung mehr. Aber bitte - jeder der Antivir benutzt und nach dem .vdf Update vom 22.02.09 diese Virusmeldung bekam, sollte sich auf der Avira Seite nochmals informieren.

Danke an die, die trotzdem helfen wollten und für die Tipps hinsichtlich Scanprogrammen und Verhaltensregeln im Fall einer Virusmeldung. Man kann nicht vorsichtig genug sein.
Hier der Link zum Thread bei Avira: http://forum.avira.com/wbb/index.php...threadID=83808

AGRO

TR/Crypt.XPACK.Gen hat mich erwischt!

Plagegeister aller Art und deren Bekämpfung: TR/Crypt.XPACK.Gen hat mich erwischt!