Antivir meldet Trojaner TR/Crypt.XPACK.Gen

Le Venom · 07.05.2009, 14:53

Hallo Helferlein, bitte helft mir mit einem nervigen Trojaner, der immer wieder von Antivir in verschiedenen Dateien angeprangert wird. AV meldet ihn als:

TR/Crypt.XPACK.Gen

Außer den Meldungen durch AV habe ich keine Beeinträchtigungen feststellen können, außer ein teilweises Einfrieren bzw. Stocken des Laptops, wenn sich das Hochschulinternet mal wieder verabschiedet. Das war Anfangs noch nicht, weshalb ich vermute, das es mit dem Trojaner zusammenhängen könnte. Beginnen diese Symptome und ich ziehe das Netzkabel heraus, läuft er wieder flüssig.

Die automatische Logfileauswertung durch HijackThis brachte keine Ergebnisse zustande. Laut dieser ist mein Laptop sauber, so komme ich also nicht weiter.

Auch eine Suche mit AdAware blieb erfolglos.

In folgendem Nachbarthread habe ich mich schon inspiriert und Malwarebytes durchlaufen lassen:

http://www.trojaner-board.de/55718-antivir-schlaegt-alarm-trojaner-tr-crypt-xpack-gen.html

Besonders aktiv scheint der Trojaner zu werden, wenn eine Suchengine wie Malwarebytes durchläuft, hatte während des Scans sicher 5-6 Meldungen. Dabei tauchte eben sogar auch ein neuer auf:
TR/Dldr.Small.bws.20

Pfad:
C:\Programme\Eidos Interactive\HotHouse Creations\WER WIRD MILLIONÄR - 2. EDITION\PatchFX.exe

Der Trojaner namens TR/Crypt.XPACK.Gen wurde bisher in folgenden Pfaden gefunden:

C:\WINDOWS\system32\txjdt.dll
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TNLG18J8\mevxjpd[1].jpg
C:\WINDOWS\system32\x (bisher am häufigsten aufgetreten)
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\JMBIYWQJ\wjbd[1].jpg
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TNLG18J8\gkckk[1].png
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\JMBIYWQJ\tzib[1].jpg
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CE6VTSCT\wzjginqa[1].jpg
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CE6VTSCT\mefjx[1].gif
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4ARG0Y1D\kkmbgfaz[1].gif
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4ARG0Y1D\fmfz[1].gif
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CE6VTSCT\jijbpu[1].bmp

1) CCleaner lief durch
2) SmitFraudFix lief durch, Log hier:

Zitat:

SmitFraudFix v2.414

Scan done at 14:11:13,73, 07.05.2009
Run from C:\Lager\Sonstiges\TrojanerKillerSoftware\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost
127.0.0.1 localhost
127.0.0.1 localhost
127.0.0.1 localhost
127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{A781374F-9CBF-49F5-93FB-45F0349A7ACB}: NameServer=141.47.5.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A781374F-9CBF-49F5-93FB-45F0349A7ACB}: NameServer=141.47.5.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{A781374F-9CBF-49F5-93FB-45F0349A7ACB}: NameServer=141.47.5.1

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» RK.2

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

3) Malwarebytes lief durch, Log hier:

Zitat:

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2087
Windows 5.1.2600 Service Pack 2

07.05.2009 15:41:19
mbam-log-2009-05-07 (15-41-19).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 195075
Laufzeit: 57 minute(s), 27 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\UAC (Rootkit.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

4) Hijackthis-Log hier:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:03:00, on 07.05.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\AVC Finger-sensing Pad Driver\fscp.exe
C:\Programme\Power Manager\PM.exe
C:\Programme\Hotkey Management\FuncKey.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\AGEIA Technologies\TrayIcon.exe
C:\Programme\Trust\MI-2900Z Optical USB Mouse\lsmouse.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Vodafone\VMCLite\VodafoneVMCLiteLauncher.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Rainlendar2\Rainlendar2.exe
C:\Programme\ClocX\ClocX.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe
C:\Programme\QIP\qip.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\Programme\RMClock\RMClock.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\AVC Finger-sensing Pad Driver\fspadsvr.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Xfire\Xfire.exe
C:\Programme\UPHClean\uphclean.exe
C:\Programme\Cisco Systems\VPN Client\vpngui.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\CCleaner\ccleaner.exe
C:\Programme\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [fscp] C:\Programme\AVC Finger-sensing Pad Driver\fscp.exe
O4 - HKLM\..\Run: [PowerManager] C:\Programme\Power Manager\PM.exe
O4 - HKLM\..\Run: [FuncKey] "C:\Programme\Hotkey Management\FuncKey.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [AGEIA PhysX SysTray] C:\Programme\AGEIA Technologies\TrayIcon.exe
O4 - HKLM\..\Run: [MEDIAMOUSE] C:\Programme\Trust\MI-2900Z Optical USB Mouse\lsmouse.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [VodafoneVMCLiteLauncher] C:\Programme\Vodafone\VMCLite\\VodafoneVMCLiteLauncher.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [ClocX] C:\Programme\ClocX\ClocX.exe
O4 - HKCU\..\Run: [ISUSPM] "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [QIP2005] C:\Programme\QIP\qip.exe
O4 - HKCU\..\Run: [RMClock] C:\Programme\RMClock\RMClockLauncher.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Lexware Info Service.lnk = C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
O4 - Global Startup: NewShortcut1.lnk = C:\Programme\Vodafone\VMCLite\VodafoneVMCLiteLauncher.exe
O4 - Global Startup: Quicken 2008 Zahlungserinnerung.lnk = C:\Programme\Finanzen\Lexware\QuickenDeluxe\billmind.exe
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{A236184A-214D-4F72-BB47-2E08D9BCDDC9}: Domain = fh-pforzheim.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{A236184A-214D-4F72-BB47-2E08D9BCDDC9}: NameServer = 141.47.5.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{A781374F-9CBF-49F5-93FB-45F0349A7ACB}: NameServer = 141.47.5.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = fh-pforzheim.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = fh-pforzheim.de
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FspadSvc - Unknown owner - C:\Programme\AVC Finger-sensing Pad Driver\fspadsvr.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

--
End of file - 7316 bytes

5) Liste installierter Programme (erlangt durch Hijackthis):

Zitat:

Ad-Aware
Ad-Aware
Ad-Aware SE Personal
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Flash Player 9 ActiveX
Adobe Reader 7.0.7 - Deutsch
AGEIA PhysX v2.3.3
Audacity 1.2.4
AVC Finger-sensing PAD Driver
Avira AntiVir Personal - Free Antivirus
BMWi-Softwarepaket 9.0
BodyForm Professional V2.5
Call of Duty(R) 4 - Modern Warfare(TM)
Call of Duty(R) 4 - Modern Warfare(TM) 1.3 Patch
CCleaner (remove only)
Cisco Systems VPN Client 5.0.00.0340
ClocX (1.5b2)
Command & Conquer 3
Dawn of War - Dark Crusade
Dawn Of War - Winter Assault
DH Driver Cleaner Professional Edition
DivX Codec
DivX Converter
DivX Player
DivX Plus DirectShow Filters
DivX Web Player
Doom 3
Earth 2160
ElsterFormular 2008/2009
ernährungsmanager
EVEREST Home Edition v2.20
FEAR
Firebird SQL Server (D)
Fraps (remove only)
Full Spectrum Warrior
funScreenScraping Client Version
funScreenScraping Microsoft Systemdateien
HDAUDIO Soft Data Fax Modem with SmartCP
High Definition Audio - KB888111
HijackThis 2.0.2
Hitman: Contracts
Hotfix for Windows Media Player 10 (KB903157)
Hotfix für Windows XP (KB888795)
Hotfix für Windows XP (KB889527)
Hotfix für Windows XP (KB891593)
Hotfix für Windows XP (KB893357)
Hotfix für Windows XP (KB896256)
Hotfix für Windows XP (KB898900)
Hotfix für Windows XP (KB899337)
Hotfix für Windows XP (KB899510)
Hotfix für Windows XP (KB902841)
Hotfix für Windows XP (KB903234)
Hotfix für Windows XP (KB906569)
Hotfix für Windows XP (KB907865)
Hotfix für Windows XP (KB910728)
Hotfix für Windows XP (KB912024)
Hotfix für Windows XP (KB912475)
Hotfix für Windows XP (KB914841)
Hotfix für Windows XP (KB917730)
Hotfix für Windows XP (KB918005)
Hotfix für Windows XP (KB921411)
Hotfix für Windows XP (KB923232)
Hotkey 1.1.4
IrfanView (remove only)
J2SE Runtime Environment 5.0 Update 11
Java(TM) 6 Update 13
LetsTrade Komponenten
Lexware online banking 4.90
Macromedia Flash Player 8
MAGIX Digital Foto Maker SE (D)
MAGIX Fotos auf CD (D)
MAGIX Media Suite - Standard Edition (D)
MAGIX mp3 maker SE (D)
MAGIX Online Druck Service (FS)
MAGIX Video deLuxe SE (D)
Malwarebytes' Anti-Malware
MCE Software Encoder 1.0
Medieval - Total War - Gold Edition
Mein Büro
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Hotfix (KB886903)
Microsoft .NET Framework 2.0
Microsoft Office Standard Edition 2003
Microsoft Silverlight
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Works
Morrowind
Motherboard Monitor 5
Mozilla Firefox (3.0.10)
Need for Speed™ Carbon
Nero BurnRights
Nero Digital
Nero OEM
NeroVision Express Content
NHL® 09
NHL07
NVIDIA Drivers
Office 2003 Trial Assistant
Painkiller
Power Manager 2.1.2
PowerDVD
Quicken Deluxe 2008
Rainlendar2 (remove only)
Realtek High Definition Audio Driver
Saitek Colour Rumble Pad
Sicherheitsupdate für Windows XP (KB890046)
Sicherheitsupdate für Windows XP (KB893756)
Sicherheitsupdate für Windows XP (KB896358)
Sicherheitsupdate für Windows XP (KB896422)
Sicherheitsupdate für Windows XP (KB896423)
Sicherheitsupdate für Windows XP (KB896424)
Sicherheitsupdate für Windows XP (KB896428)
Sicherheitsupdate für Windows XP (KB899587)
Sicherheitsupdate für Windows XP (KB899589)
Sicherheitsupdate für Windows XP (KB899591)
Sicherheitsupdate für Windows XP (KB900725)
Sicherheitsupdate für Windows XP (KB901017)
Sicherheitsupdate für Windows XP (KB901190)
Sicherheitsupdate für Windows XP (KB901214)
Sicherheitsupdate für Windows XP (KB902400)
Sicherheitsupdate für Windows XP (KB904706)
Sicherheitsupdate für Windows XP (KB905414)
Sicherheitsupdate für Windows XP (KB905749)
Sicherheitsupdate für Windows XP (KB908519)
Sicherheitsupdate für Windows XP (KB911562)
Sicherheitsupdate für Windows XP (KB911567)
Sicherheitsupdate für Windows XP (KB911927)
Sicherheitsupdate für Windows XP (KB912812)
Sicherheitsupdate für Windows XP (KB912919)
Sicherheitsupdate für Windows XP (KB913446)
Sicherheitsupdate für Windows XP (KB913580)
Sicherheitsupdate für Windows XP (KB914388)
Sicherheitsupdate für Windows XP (KB914389)
Sicherheitsupdate für Windows XP (KB917159)
Sicherheitsupdate für Windows XP (KB917344)
Sicherheitsupdate für Windows XP (KB917422)
Sicherheitsupdate für Windows XP (KB917953)
Sicherheitsupdate für Windows XP (KB918439)
Sicherheitsupdate für Windows XP (KB918899)
Sicherheitsupdate für Windows XP (KB920214)
Sicherheitsupdate für Windows XP (KB920670)
Sicherheitsupdate für Windows XP (KB920683)
Sicherheitsupdate für Windows XP (KB921398)
Sicherheitsupdate für Windows XP (KB921883)
Sicherheitsupdate für Windows XP (KB922616)
Sid Meier's Civilization 4
Sniper Elite
SpeechRedist
Starcraft
SUPER © Version 2008.bld.30 (Mar 22, 2008)
Total Commander (Remove or Repair)
Trust MI-2900Z Optical USB Mouse
TuneUp Utilities 2006
TuxGuitar
Unreal Tournament 2004
Update für Windows Media Player 10 (KB913800)
Update für Windows XP (KB896427)
Update für Windows XP (KB897663)
Update für Windows XP (KB898461)
Update für Windows XP (KB900485)
Update für Windows XP (KB908521)
Update für Windows XP (KB908531)
Update für Windows XP (KB910437)
Update für Windows XP (KB911280)
Update für Windows XP (KB916595)
Update für Windows XP (KB920872)
Update Rollup 2 für Windows XP Media Center Edition 2005
User Profile Hive Cleanup Service
VC80CRTRedist - 8.0.50727.762
VideoLAN VLC media player 0.8.5
VirtuaGirl HD
Virtual DJ - Atomix Productions
Visual C++ 2008 x86 Runtime - (v9.0.30729)
Visual C++ 2008 x86 Runtime - v9.0.30729.01
Vivian Mail 3.27
Vodafone Mobile Connect Lite
Winamp
Windows Installer 3.1 (KB893803)
Windows Media Format Runtime
Windows Media Player Firefox Plugin
Windows XP Media Center Edition 2005 KB919803
Windows XP-Hotfix - KB319740
Windows XP-Hotfix - KB873339
Windows XP-Hotfix - KB883529
Windows XP-Hotfix - KB883667
Windows XP-Hotfix - KB884018
Windows XP-Hotfix - KB884575
Windows XP-Hotfix - KB884868
Windows XP-Hotfix - KB884883
Windows XP-Hotfix - KB885523
Windows XP-Hotfix - KB885835
Windows XP-Hotfix - KB885836
Windows XP-Hotfix - KB885855
Windows XP-Hotfix - KB885894
Windows XP-Hotfix - KB886677
Windows XP-Hotfix - KB886716
Windows XP-Hotfix - KB887742
Windows XP-Hotfix - KB888113
Windows XP-Hotfix - KB888302
Windows XP-Hotfix - KB888402
Windows XP-Hotfix - KB889016
Windows XP-Hotfix - KB889673
Windows XP-Hotfix - KB890831
Windows XP-Hotfix - KB890859
Windows XP-Hotfix - KB891781
Windows XP-Hotfix - KB892627
Windows XP-Hotfix - KB893056
Windows XP-Hotfix - KB895961
Windows XP-Hotfix - KB896626
Windows-Treiberpaket - Advanced Micro Devices (AmdK8) Processor (05/27/2006 1.3.2.0)
Xfire (remove only)

Soweit der Stand der Dinge.
Schonmal Danke im Voraus für die Hilfe

Lg Venom

Le Venom · 08.05.2009, 13:22

Mittlerweile ließ ich den Antivir nochmal komplett durchlaufen und folgendes kam heraus, Log:

Zitat:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 7. Mai 2009 16:27

Es wird nach 1381560 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ZAUBERKISTE

Versionsinformationen:
BUILD.DAT : 9.0.0.394 17962 Bytes 17.04.2009 11:13:00
AVSCAN.EXE : 9.0.3.5 466689 Bytes 27.04.2009 15:48:49
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 10:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 09:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 08:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 10:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 18:33:26
ANTIVIR2.VDF : 7.1.3.137 1810944 Bytes 30.04.2009 22:10:04
ANTIVIR3.VDF : 7.1.3.164 142336 Bytes 06.05.2009 22:09:48
Engineversion : 8.2.0.160
AEVDF.DLL : 8.1.1.1 106868 Bytes 03.05.2009 22:10:05
AESCRIPT.DLL : 8.1.1.79 385403 Bytes 03.05.2009 22:10:05
AESCN.DLL : 8.1.1.10 127348 Bytes 26.04.2009 10:58:33
AERDL.DLL : 8.1.1.3 438645 Bytes 29.10.2008 16:24:41
AEPACK.DLL : 8.1.3.14 397685 Bytes 26.04.2009 10:58:33
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26.02.2009 18:01:56
AEHEUR.DLL : 8.1.0.122 1737080 Bytes 26.04.2009 10:58:31
AEHELP.DLL : 8.1.2.2 119158 Bytes 26.02.2009 18:01:56
AEGEN.DLL : 8.1.1.39 348532 Bytes 26.04.2009 10:58:28
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 12:32:40
AECORE.DLL : 8.1.6.9 176500 Bytes 26.04.2009 10:58:26
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 12:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 06:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 09:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 12:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 13:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 27.04.2009 15:48:49
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 08:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 13:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 06:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 13:41:21
RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 09.02.2009 09:41:16
RCTEXT.DLL : 9.0.37.0 87809 Bytes 27.04.2009 15:48:49

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Donnerstag, 7. Mai 2009 16:27

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '46842' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vpngui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RMClock.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ISUSPM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ClocX.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Rainlendar2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VodafoneVMCLiteLauncher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsmouse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrayIcon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FuncKey.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fscp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcrdsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'uphclean.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fspadsvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehrecvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '51' Prozesse mit '51' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '74' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <n01789>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Lager\Sonstiges\Wer_wird_Millionär_2nd_NoCD.zip
[0] Archivtyp: ZIP
--> PatchFX.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Small.bws.20
C:\Lager\Sonstiges\WWTBAM2nd2kFIX.rar
[0] Archivtyp: RAR
--> WWTBAM2nd2kFIX.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Small.bws.20
C:\Lager\Sonstiges\Cracks\Wer wird Millionär 2\Wer_wird_Millionär_2nd_NoCD.zip
[0] Archivtyp: ZIP
--> PatchFX.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Small.bws.20
C:\Programme\Eidos Interactive\HotHouse Creations\WER WIRD MILLIONÄR - 2. EDITION\Wer_wird_Millionär_2nd_NoCD.zip
[0] Archivtyp: ZIP
--> PatchFX.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Small.bws.20
C:\Programme\Finanzen\QuickenDeluxe\Lexware.Quicken.Deluxe.2008.v15.0.GERMAN-SHooTERS\Lager\lqd2k8ger.part46.rar
[0] Archivtyp: RAR
--> Lexware.Quicken.Deluxe.2008.v15.0.GERMAN.cue
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Spiele\UT2004\Crack\UNREAL.TOURNAMENT.2004.KEYGEN-DEViANCE\dev-ut4k.rar
[0] Archivtyp: RAR
--> Keygen.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Obfuscated
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!

Beginne mit der Desinfektion:
C:\Lager\Sonstiges\Wer_wird_Millionär_2nd_NoCD.zip
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a751105.qua' verschoben!
C:\Lager\Sonstiges\WWTBAM2nd2kFIX.rar
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a5710f7.qua' verschoben!
C:\Lager\Sonstiges\Cracks\Wer wird Millionär 2\Wer_wird_Millionär_2nd_NoCD.zip
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b03e436.qua' verschoben!
C:\Programme\Eidos Interactive\HotHouse Creations\WER WIRD MILLIONÄR - 2. EDITION\Wer_wird_Millionär_2nd_NoCD.zip
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b00fc6e.qua' verschoben!
C:\Spiele\UT2004\Crack\UNREAL.TOURNAMENT.2004.KEYGEN-DEViANCE\dev-ut4k.rar
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a791105.qua' verschoben!

Ende des Suchlaufs: Donnerstag, 7. Mai 2009 18:47
Benötigte Zeit: 1:18:50 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

7976 Verzeichnisse wurden überprüft
556840 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
5 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
556832 Dateien ohne Befall
10167 Archive wurden durchsucht
5 Warnungen
7 Hinweise
46842 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Die gefundenen überraschen mich jetzt nicht sonderlich, sie wurden irgendwann schonmal angeprangert. Der ursprüngliche Trojaner wurde aber nicht gefunden, obwohl er Stunden später gestern wieder auftrat, dies 2-3mal.

Scheint so als sei schwereres Geschütz vonnöten.
Ich bitte nochmals um Hilfe liebe Helferlein.

Lg Venom

4RobSen8 · 08.05.2009, 14:00

Zitat:

C:\Lager\Sonstiges\Cracks

4RobSen8 · 08.05.2009, 15:01

Zitat:

C:\Lager\Sonstiges\Cracks

Die anderen zähle ich Dir nicht mehr auf, die solltest du ja`kennen.

Du wirst hier im Forum keinen Support bekommen, da du mutwillig Cracks etc. benutzt.
Das ist grob Fahrlässig, da diese meist Maleware etc. beinhalten, ausserdem ist es nicht legal.

Darum:
-> http://www.trojaner-board.de/51262-a...sicherung.html

Wusste garnicht, dass man nicht innerhalb von 60 minuten seinen eigenen Beitrag umschreiben darf...
*Seltsam findet*^^

Le Venom · 08.05.2009, 15:26

Okay erwischt, ändern kann ich es ja jetzt nicht mehr.

Du hast auch recht, viele von denen können derartigen Mist enthalten. Dennoch habe ich den threadspezifischen Trojaner nicht durch irgendwelche Cracks erhalten, da ich vor dem Befall nicht auf derartigen Seiten war. Und danach auch nicht.

Sei es wie es sei, mein Fehler, hätte es editieren müssen und nicht übersehen dürfen.

Wird man mir nun helfen oder nicht, liebe Mods?

Antivir meldet Trojaner TR/Crypt.XPACK.Gen

Plagegeister aller Art und deren Bekämpfung: Antivir meldet Trojaner TR/Crypt.XPACK.Gen