|
Plagegeister aller Art und deren Bekämpfung: 'TR/Crypt.XPACK.Gen'Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
12.03.2009, 12:12 | #1 |
| 'TR/Crypt.XPACK.Gen' Hallo Heute morgen stellte Avira AntiVir Personal - FREE Antivirus folgendes auf meinem PC fest: In der Datei 'C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CHA1L47C\kbjntirf[1].bmp' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben In der Datei 'C:\WINDOWS\system32\x' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben In der Datei 'C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CHA1L47C\efadvbfg[1].gif' wurde ein Virus oder unerwünschtes Programm 'HEUR/Crypted.E' [heuristic] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben Hab nach dem verschieben in Quarantäne nochmal einen Virenscan durchgeführt, ohne das etwas gefunden wurde. Das eingeschränkte Benutzerkonto mit dem normalerweise in´s Internet gegangen wird gelöscht. Daraufhin hab ich eure Liste abgearbeitet, CCleaner, Malwarebytes-Anti-Malware, HijackThis ohne das noch etwas gefunden wurde. Ich bin nun ziemlich unsicher (wenig Ahnung von PC-Dingen), da ich auch online Banking mache ob sich damit alles erledingt hat. Oder ob ein Neuaufsetzen des Systems besserer wäre/nötig ist? Bedanke mich schon mal im Vorraus für eure Hilfe. Ergebniss:Anti-Malware Code:
ATTFilter Malwarebytes' Anti-Malware 1.34 Datenbank Version: 1840 Windows 5.1.2600 Service Pack 2 12.03.2009 10:44:05 mbam-log-2009-03-12 (10-44-05).txt Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|E:\|F:\|) Durchsuchte Objekte: 200286 Laufzeit: 35 minute(s), 35 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:09:40, on 12.03.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\CTHELPER.EXE C:\WINDOWS\system32\CTXFIHLP.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\SYSTEM32\CTXFISPI.EXE C:\Programme\Java\j2re1.4.2_07\bin\jusched.exe C:\WINDOWS\system32\atwtusb.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\WINDOWS\system32\TBLMOUSE.EXE C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\WINDOWS\system32\svchost.exe D:\Eigene Dateien\HijackThis.exe R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: EWPBrowseObject Class - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_07\bin\jusched.exe O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_07\bin\npjpi142_07.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_07\bin\npjpi142_07.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1188233338515 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 6412 bytes Geändert von syIfra (12.03.2009 um 12:39 Uhr) |
12.03.2009, 12:36 | #2 |
/// AVZ-Toolkit Guru | 'TR/Crypt.XPACK.Gen' Halli hallo syIfraAuf welchem Konto wurden die Funde gemacht? Auf einem mit eingeschränkten Rechten? Das könnte alles schlimmere verhindert haben...
__________________- Update die AntiVir Datenbanken. - Downlaode CCleaner und installiere das Prog. -Wechsel in den abgesicherten Modus. - Räume mit dem CCleaner auf (Punkte 1&2) - Führe einen Vollscan mit AntiVir nach folgender Anleitung aus: http://www.trojaner-board.de/54192-a...tellungen.html -Starte den Rechner im normalen Modus neu und poste das AntiVir log. PS: Reiche bitte noch den Kopf des HJT logs nach.
__________________ |
12.03.2009, 17:40 | #3 | |
| 'TR/Crypt.XPACK.Gen'Zitat:
Also den Fund hat das Virusprogramm angezeigt als ich mit einem Konto mit Adminrechten angemeldet war, allerdings nicht im Internet. Ins Internet sind wir immer nur mit Konto mit eingeschränkten Rechten gegangen. Den Rest wie du geschrieben hast hab ich gemacht. Dabei wurde nichts gefunden. Ähm, bist du sicher das ich die Reportdatei hier posten soll? Die ist ellenlang und außerdem detailiert alles aufgeführt was auf meinem Pc so ist. |
12.03.2009, 18:02 | #4 | |
/// AVZ-Toolkit Guru | 'TR/Crypt.XPACK.Gen'Zitat:
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
12.03.2009, 20:24 | #5 |
| 'TR/Crypt.XPACK.Gen' Ok ich poste hier mal die Lofile in der Standartvariante. Die lange Version hab ich dir per PN geschickt. Code:
ATTFilter Avira AntiVir Personal Erstellungsdatum der Reportdatei: Donnerstag, 12. März 2009 19:12 Es wird nach 1295603 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Boot Modus: Abgesicherter Modus Benutzername: xxx Computername: xxx Versionsinformationen: BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 26.11.2008 06:36:05 AVSCAN.DLL : 8.1.4.0 48897 Bytes 07.08.2008 13:20:52 LUKE.DLL : 8.1.4.5 164097 Bytes 07.08.2008 13:20:52 LUKERES.DLL : 8.1.4.0 12545 Bytes 07.08.2008 13:20:52 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 09:47:36 ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 07:07:13 ANTIVIR2.VDF : 7.1.2.152 749568 Bytes 11.03.2009 07:33:38 ANTIVIR3.VDF : 7.1.2.161 35328 Bytes 12.03.2009 11:42:45 Engineversion : 8.2.0.109 AEVDF.DLL : 8.1.1.0 106868 Bytes 03.02.2009 12:35:31 AESCRIPT.DLL : 8.1.1.60 360826 Bytes 11.03.2009 07:18:45 AESCN.DLL : 8.1.1.8 127346 Bytes 07.03.2009 06:24:39 AERDL.DLL : 8.1.1.3 438645 Bytes 05.11.2008 14:26:22 AEPACK.DLL : 8.1.3.10 397686 Bytes 07.03.2009 06:24:38 AEOFFICE.DLL : 8.1.0.36 196987 Bytes 01.03.2009 12:09:29 AEHEUR.DLL : 8.1.0.104 1634679 Bytes 07.03.2009 06:24:38 AEHELP.DLL : 8.1.2.2 119158 Bytes 01.03.2009 12:09:29 AEGEN.DLL : 8.1.1.27 336244 Bytes 11.03.2009 07:18:44 AEEMU.DLL : 8.1.0.9 393588 Bytes 19.10.2008 07:48:14 AECORE.DLL : 8.1.6.6 176501 Bytes 19.02.2009 20:51:46 AEBB.DLL : 8.1.0.3 53618 Bytes 19.10.2008 07:48:13 AVWINLL.DLL : 1.0.0.12 15105 Bytes 07.08.2008 13:20:52 AVPREF.DLL : 8.0.2.0 38657 Bytes 07.08.2008 13:20:52 AVREP.DLL : 8.0.0.2 98344 Bytes 01.08.2008 05:14:14 AVREG.DLL : 8.0.0.1 33537 Bytes 07.08.2008 13:20:52 AVARKT.DLL : 1.0.0.23 307457 Bytes 16.04.2008 16:12:27 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 07.08.2008 13:20:52 SQLITE3.DLL : 3.3.17.1 339968 Bytes 16.04.2008 16:12:28 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 07.08.2008 13:20:52 NETNT.DLL : 8.0.0.1 7937 Bytes 16.04.2008 16:12:28 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 07.08.2008 13:20:51 RCTEXT.DLL : 8.0.52.0 86273 Bytes 07.08.2008 13:20:51 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, D:, E:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: ein Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: aus Archiv Smart Extensions..........: ein Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik..............: ein Dateiheuristik...................: hoch Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Donnerstag, 12. März 2009 19:12 Der Suchlauf nach versteckten Objekten wird begonnen. Der Treiber konnte nicht initialisiert werden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '12' Prozesse mit '12' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '59' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'D:\' Beginne mit der Suche in 'E:\' Ende des Suchlaufs: Donnerstag, 12. März 2009 19:52 Benötigte Zeit: 39:59 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 5964 Verzeichnisse wurden überprüft 237864 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 237863 Dateien ohne Befall 2398 Archive wurden durchsucht 1 Warnungen 0 Hinweise Geändert von syIfra (12.03.2009 um 20:48 Uhr) |
12.03.2009, 21:12 | #6 |
/// AVZ-Toolkit Guru | 'TR/Crypt.XPACK.Gen' Das sieht abslotu sauber aus. Ich denke du kannst beruhigt sein. Allerdings weist dein System Mängel auf die behoben werden sollten. Ich poste dir mal eine kleine Liste was alles zu einem sicheren System System gehört:
Häufig gestellte Fragen: XP | Vista Zusätzlich kannst du natürlich immer gerne hier posten wenn du absolut nicht weiterkommst..
__________________ --> 'TR/Crypt.XPACK.Gen' |
12.03.2009, 21:24 | #7 | |
| 'TR/Crypt.XPACK.Gen'Zitat:
Tolles Forum mit vielen hilfreichen Tips... lieben Gruß syIfra |
Themen zu 'TR/Crypt.XPACK.Gen' |
adobe, antivir, antivirus, avira, bho, bonjour, canon, computer, content.ie5, dll, einstellungen, explorer, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, malwarebytes' anti-malware, nvidia, pdf, pop-up-blocker, programm, registrierungsschlüssel, rundll, scan, senden, system, tr/crypt.xpack.ge, tr/crypt.xpack.gen, tr/crypt.xpack.gen', tr/crypt.xpack.gen' [trojan], trojan, wenig ahnung, windows, windows xp |