| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Problem mit TR/Crypt.XPACK.GenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
03.03.2009, 13:10
| #1 |
| |  Problem mit TR/Crypt.XPACK.Gen Hallo  ,hatte heut nacht die Meldung bekommen, dass eine Datei (irgendeine .dll) mit TR/Crypt.XPACK.Gen infiziert wäre, daraufhin habe ich die Datei gelöscht und es folgten noch 10-20 weitere Meldungen (waren alles .dll Dateien). Die Dateien habe ich alle gelöscht, bin mir aber nun nicht sicher, ob nicht jetzt noch was da ist. Habe mal HijackThis durchlaufen lassen, hier das Logfile (DllHost.exe macht mir ein wenig Sorgen?!) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:06:04, on 03.03.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Program Files (x86)\AusLogics BoostSpeed\boostspeed.exe C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files (x86)\Avira\AntiVir Workstation\avgnt.exe C:\Program Files (x86)\Java\jre6\bin\jusched.exe C:\Program Files (x86)\Common Files\Nokia\MPlatform\NokiaMServer.exe C:\Program Files (x86)\Mozilla Firefox\firefox.exe C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe C:\Windows\SysWOW64\DllHost.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = F2 - REG:system.ini: UserInit=userinit.exe O1 - Hosts: ::1 localhost O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Program Files (x86)\Windows Live\Messenger\wlchtc.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files (x86)\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Workstation\avgnt.exe" /min O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [NokiaMServer] C:\Program Files (x86)\Common Files\Nokia\MPlatform\NokiaMServer /watchfiles O4 - HKCU\..\Run: [BoostSpeed] "C:\Program Files (x86)\AusLogics BoostSpeed\boostspeed.exe" /Q O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - Global Startup: Nokia Ovi Suite.lnk = C:\Program Files (x86)\Nokia\Ovi\Suite\RunLauncher.exe O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6.5\ICQ.exe O10 - Broken Internet access because of LSP provider 'c:\program files (x86)\bonjour\mdnsnsp.dll' missing O13 - Gopher Prefix: O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing) O23 - Service: Avira AntiVir Professional MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Workstation\avmailc.exe O23 - Service: Avira AntiVir Professional Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Workstation\sched.exe O23 - Service: Avira AntiVir Professional Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Workstation\avguard.exe O23 - Service: Avira AntiVir Professional WebGuard (antivirwebservice) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Workstation\AVWEBGRD.EXE O23 - Service: Ati External Event Utility - Unknown owner - C:\Windows\system32\Ati2evxx.exe (file missing) O23 - Service: Avira AntiVir Professional MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Workstation\avesvc.exe O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing) O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing) O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Update Service (gupdate1c98634f1d4b134) (gupdate1c98634f1d4b134) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: lxct_device - - C:\Windows\system32\lxctcoms.exe O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing) O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing) O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - D:\Program Files\SiSoftware\SiSoftware Sandra Lite 2009\RpcAgentSrv.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files (x86)\Nokia\PC Connectivity Solution\ServiceLayer.exe O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing) O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing) O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing) O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - Unknown owner - C:\Windows\System32\TuneUpDefragService.exe (file missing) O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing) O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing) O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing) O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing) O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing) O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing) -- End of file - 9971 bytes |
|
03.03.2009, 14:05
| #2 |
 | Problem mit TR/Crypt.XPACK.Gen Hallöchen^^,
__________________Der prozess "C:\Windows\SysWOW64\DllHost.exe" läuft nomalerweise in c:\windows\system32\! Lade diese Datei bei Virustotal hoch und Poste bitte das Log. |
|
03.03.2009, 14:10
| #3 |
| | Problem mit TR/Crypt.XPACK.Gen *Ergänzung... kann es sein das es mdnsnsp.dll war? weil aus deinem log-file kann man ablesen das diese fehlt.."Broken Internet access because of LSP provider 'c:\program files (x86)\bonjour\mdnsnsp.dll' missing"
__________________ |
|
03.03.2009, 14:56
| #4 | |
| | Problem mit TR/Crypt.XPACK.Gen erstmal danke für die schnellen antworten ^^ und ich hab irgendwie probleme mich mit dem anderen acc hier anzumelden (schon neues pw angefordert das geht auch nich ect,) naja wieder zu meinem problem =) Zitat:
die hießen unteranderem zb so URS BLT EQ.dll' URS A10 Series EQ.dll URS A Series EQ.dll' URS A MIX EQ.dll und sind alle aus einem musik programm. hier das log file (VirusTotal) weitere Informationen File size: 7168 bytes MD5...: be01e566d1f569aab32d0335613e1eea SHA1..: 58c379b077944d2ba79c0251977e8ede3dfbc829 SHA256: 997b248bfbdb290206a8496722d6102903634ec0d397694569bc237a681c088f SHA512: 968198d9039adc1972d4e465e92e5507b5559a99875e31e022f25bb3d6f8fd80 aff510b6548df66c990fe18e0c86fbac27fd16fe4fa08ca8a29b4e9737c242dc ssdeep: 96:ZZE9wFekiJszfP/ox/vcXMS2c+X1jveoWEK4+quegEW83CG3aXpWwWgfbs:A9 r/MfnuvyJ+WEK4VueZW83Cb5WM PEiD..: - TrID..: File type identification Win32 Executable Generic (42.3%) Win32 Dynamic Link Library (generic) (37.6%) Generic Win/DOS Executable (9.9%) DOS Executable Generic (9.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x16e6 timedatestamp.....: 0x4549b14e (Thu Nov 02 08:50:22 2006) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0xfca 0x1000 6.21 6232073160c02064e3ae77a5bf2c8d48 .data 0x2000 0x37c 0x200 0.30 26d2af9b5ae35538e55951b8e598e42b .rsrc 0x3000 0x3e8 0x400 3.32 702716852deeccfc886c2d3649c7f1ce .reloc 0x4000 0x1ae 0x200 4.40 2fdd3e04454be7211e432c47373d4aa8 ( 3 imports ) > KERNEL32.dll: lstrlenA, GetVersionExW, TerminateProcess, GetCurrentProcess, SetEnvironmentVariableW, MultiByteToWideChar, HeapSetInformation, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, GetModuleHandleA, SetUnhandledExceptionFilter, GetStartupInfoA, InterlockedCompareExchange, Sleep, InterlockedExchange, UnhandledExceptionFilter > msvcrt.dll: __p__commode, __p__fmode, __set_app_type, _terminate@@YAXXZ, _adjust_fdiv, _controlfp, _stricmp, __getmainargs, _cexit, _except_handler4_common, _exit, __setusermatherr, _amsg_exit, _initterm, _acmdln, exit, _ismbblead, _XcptFilter > ole32.dll: CoInitializeEx, CoRegisterSurrogateEx, CoUninitialize, CLSIDFromString ( 0 exports ) ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=be01e566d1f569aab32d0335613e1eea' target='_blank'>http://www.threatexpert.com/report.aspx?md5=be01e566d1f569aab32d0335613e1eea</a> hoff ich hab alles richtig gemacht |
|
03.03.2009, 18:23
| #5 |
| | Problem mit TR/Crypt.XPACK.Gen Okk, kannst du mir noch sagen, welche scanner bei virustotal die dll. als virus angezeigt hat? am besten du deinstallierst das Programm und machst eine Systemprüfung mit antivir und postest alles was er findet.Am besten wäre noch , wenn du mir sagst welches service Pack dein Windows hat, wenn du noch Service pack 1 hast, ist alles verloren und du kannst deinen pc neu aufsetzen  lg |
|
03.03.2009, 18:33
| #6 | |
| Administrator > Competence Manager  | Problem mit TR/Crypt.XPACK.GenZitat:
VirusTotal - Kostenloser online Viren- und Malwarescanner - Hash Search
__________________ --> Problem mit TR/Crypt.XPACK.Gen |
|
03.03.2009, 18:41
| #7 |
| | Problem mit TR/Crypt.XPACK.Gen Tut mir leid ich bin noch sehr neu hier und versuche einfach zu helfen aber danke für deinen Rat, kann man immer gebrauchen |
|
03.03.2009, 21:46
| #8 |
| | Problem mit TR/Crypt.XPACK.Gen so meinst du das hier? Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.03.03 - AhnLab-V3 5.0.0.2 2009.02.27 - AntiVir 7.9.0.98 2009.03.03 - Authentium 5.1.0.4 2009.03.03 - Avast 4.8.1335.0 2009.03.03 - AVG 8.0.0.237 2009.03.03 - BitDefender 7.2 2009.03.03 - CAT-QuickHeal 10.00 2009.03.03 - ClamAV 0.94.1 2009.03.03 - Comodo 1021 2009.03.03 - DrWeb 4.44.0.09170 2009.03.03 - eSafe 7.0.17.0 2009.03.03 - eTrust-Vet 31.6.6381 2009.03.03 - F-Prot 4.4.4.56 2009.03.03 - F-Secure 8.0.14470.0 2009.03.03 - Fortinet 3.117.0.0 2009.03.03 - GData 19 2009.03.03 - Ikarus T3.1.1.45.0 2009.03.03 - K7AntiVirus 7.10.656 2009.03.03 - Kaspersky 7.0.0.125 2009.03.03 - McAfee 5542 2009.03.03 - McAfee+Artemis 5542 2009.03.03 - Microsoft 1.4306 2009.03.03 - NOD32 3905 2009.03.03 - Norman 6.00.06 2009.03.03 - nProtect 2009.1.8.0 2009.03.03 - Panda 10.0.0.10 2009.03.03 - PCTools 4.4.2.0 2009.03.03 - Prevx1 V2 2009.03.03 - Rising 21.19.11.00 2009.03.03 - SecureWeb-Gateway 6.7.6 2009.03.03 - Sophos 4.39.0 2009.03.03 - Sunbelt 3.2.1858.2 2009.03.02 - Symantec 10 2009.03.03 - TheHacker 6.3.2.6.269 2009.03.02 - TrendMicro 8.700.0.1004 2009.03.03 - VBA32 3.12.10.1 2009.03.03 - ViRobot 2009.3.3.1632 2009.03.03 - VirusBuster 4.5.11.0 2009.03.03 - der zeigt da kein ergebniss =\ es ist ja so ich hab das musikprogramm garnicht drauf hatte nurnoch diesen ordner weil da einige wichtige datein drin waren. Hab diesen jetz aber schon vollständig gelöscht (da mein freund ihn auch noch hat ) und dannach auch noch sämtliche scans mit antivir gemacht und der hat nix mehr gefunden.Ich konnte alles (die befallenen dll's)direkt löschen das einzige was dann gekommen ist ist der prozess dllhost.exe und da ich im internet schon mehrfach gelesen hatte das das ein virus sein könnte... achso und ich habe Service Pack 1 (da es bei Vista noch keinen 2 gibt ) danke schomal und nochmal Geändert von Jeanny1990 (03.03.2009 um 21:53 Uhr) |
|
04.03.2009, 13:49
| #9 |
| | Problem mit TR/Crypt.XPACK.Gen Ohh tut mir leid.. ich bin nochwas unerfahren in soclhen dingen.. ich weiß auch nicht ob bei deinem pc jetzt alles okk ist.. ichd achte du benutzt windows xp  ich glaube 4RobSen8 kann dir da besser helfen ich habe ihn auch schon benachrichtigt.. wenn es fragen gibt wende dich einfach an ihn Lg David |
|
04.03.2009, 14:25
| #10 |
| | Problem mit TR/Crypt.XPACK.Gen macht nix und danke ich warte das jetz mal ab und wenn was passiert wende ich mich an ihn dankeschön  |
|
| Themen zu Problem mit TR/Crypt.XPACK.Gen |
| .dll, .dll dateien, adobe, antivir, avg, avira, bho, bonjour, datei gelöscht, dllhost.exe, explorer, firefox, google update, gupdate, hijack, hijackthis, icq, infiziert, internet, internet explorer, logfile, microsoft, mozilla, nicht sicher, plug-in, problem, rundll, software, solution, syswow64, tr/crypt.xpack.ge, tr/crypt.xpack.gen, tuneup.defrag, vista, windows, windows sidebar, wmp |
Linear-Darstellung
