TR/Crypt.XPACK.Gen - Coaxx\ylke.exe

kosova · 18.08.2010, 16:28

Hallo Helfer,
habe vorhin eine Avriameldung bekommen

hier die hjttxt

weiß nicht was ich tun soll...

HiJackthis Logfile:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:21:55, on 18.08.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18943)
Boot mode: Normal
 
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\System32\mobsync.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\CCleaner\CCleaner.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [MSConfig] "C:\Windows\system32\msconfig.exe" /auto
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Common Files\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/VistaMSNPUpldde-de.cab
O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe (file missing)
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: ShadowExplorer Service (sesvc) - www.shadowexplorer.com - C:\Program Files\ShadowExplorer\sesvc.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe
 
--
End of file - 7759 bytes

--- --- ---

mfg

markusg · 18.08.2010, 16:40

willst du hier jetzt jede woche nen thread eröffnen? :-)
du hast in den letzten monaten mindestens 3 verschiedene malware probleme gehabt, es wäre daher gut mal das system platt zu machen und dann mit nem abgesicherten system neu anzufangen.
poste aber erst mal die avira meldung, ist unter ereignisse oder berichte zu finden.

kosova · 18.08.2010, 18:02

hier die txt

Zitat:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 18. August 2010 16:45

Es wird nach 2727125 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ***-PC

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 21.06.2010 13:46:40
AVSCAN.DLL : 10.0.3.0 56168 Bytes 21.06.2010 13:46:40
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 07:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 17:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 15:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 14:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 09:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 13:46:39
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 13:46:39
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 08:27:45
VBASE008.VDF : 7.10.9.166 2048 Bytes 23.07.2010 08:27:46
VBASE009.VDF : 7.10.9.167 2048 Bytes 23.07.2010 08:27:46
VBASE010.VDF : 7.10.9.168 2048 Bytes 23.07.2010 08:27:46
VBASE011.VDF : 7.10.9.169 2048 Bytes 23.07.2010 08:27:46
VBASE012.VDF : 7.10.9.170 2048 Bytes 23.07.2010 08:27:46
VBASE013.VDF : 7.10.9.198 157696 Bytes 26.07.2010 10:18:04
VBASE014.VDF : 7.10.9.255 997888 Bytes 29.07.2010 14:01:26
VBASE015.VDF : 7.10.10.28 139264 Bytes 02.08.2010 09:25:42
VBASE016.VDF : 7.10.10.52 127488 Bytes 03.08.2010 09:25:44
VBASE017.VDF : 7.10.10.84 137728 Bytes 06.08.2010 14:01:09
VBASE018.VDF : 7.10.10.107 176640 Bytes 09.08.2010 14:01:37
VBASE019.VDF : 7.10.10.130 132608 Bytes 10.08.2010 14:01:06
VBASE020.VDF : 7.10.10.158 131072 Bytes 12.08.2010 17:16:00
VBASE021.VDF : 7.10.10.190 136704 Bytes 16.08.2010 14:01:27
VBASE022.VDF : 7.10.10.191 2048 Bytes 16.08.2010 14:01:27
VBASE023.VDF : 7.10.10.192 2048 Bytes 16.08.2010 14:01:27
VBASE024.VDF : 7.10.10.193 2048 Bytes 16.08.2010 14:01:27
VBASE025.VDF : 7.10.10.194 2048 Bytes 16.08.2010 14:01:27
VBASE026.VDF : 7.10.10.195 2048 Bytes 16.08.2010 14:01:28
VBASE027.VDF : 7.10.10.196 2048 Bytes 16.08.2010 14:01:28
VBASE028.VDF : 7.10.10.197 2048 Bytes 16.08.2010 14:01:28
VBASE029.VDF : 7.10.10.198 2048 Bytes 16.08.2010 14:01:29
VBASE030.VDF : 7.10.10.199 2048 Bytes 16.08.2010 14:01:29
VBASE031.VDF : 7.10.10.210 89600 Bytes 18.08.2010 14:01:18
Engineversion : 8.2.4.38
AEVDF.DLL : 8.1.2.1 106868 Bytes 31.07.2010 09:54:23
AESCRIPT.DLL : 8.1.3.42 1364347 Bytes 31.07.2010 09:54:23
AESCN.DLL : 8.1.6.1 127347 Bytes 21.06.2010 13:46:40
AESBX.DLL : 8.1.3.1 254324 Bytes 21.06.2010 13:46:40
AERDL.DLL : 8.1.8.2 614772 Bytes 26.07.2010 08:27:55
AEPACK.DLL : 8.2.3.5 471412 Bytes 07.08.2010 17:36:07
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 26.07.2010 08:27:52
AEHEUR.DLL : 8.1.2.15 2859382 Bytes 18.08.2010 14:01:22
AEHELP.DLL : 8.1.13.2 242039 Bytes 26.07.2010 08:27:50
AEGEN.DLL : 8.1.3.19 393587 Bytes 07.08.2010 17:36:01
AEEMU.DLL : 8.1.2.0 393588 Bytes 21.06.2010 13:46:39
AECORE.DLL : 8.1.16.2 192887 Bytes 26.07.2010 08:27:49
AEBB.DLL : 8.1.1.0 53618 Bytes 21.06.2010 13:46:39
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 21.06.2010 13:46:40
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 21.06.2010 13:46:40
AVARKT.DLL : 10.0.0.14 227176 Bytes 21.06.2010 13:46:40
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 21.06.2010 13:46:39

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4ca477c2\guard_slideup.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +PCK,+PFS,+SPR,

Beginn des Suchlaufs: Mittwoch, 18. August 2010 16:45

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\program files\common files\symantec shared\opc\{31011d49-d90c-4da0-878b-78d28ad507af}\ssautorn.exe
c:\Program Files\Common Files\Symantec Shared\OPC\{31011D49-D90C-4da0-878B-78D28AD507AF}\SSAutoRN.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\users\***\appdata\local\temp\symlcsv1.exe
c:\Users\***\AppData\Local\Temp
[HINWEIS] Der Prozess ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'SearchFilterHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avnotify.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'symlcsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mobsync.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccApp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tcpsvcs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sesvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ALUSchedulerSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppSvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccSvcHst.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\***-PC\AppData\Roaming\Coaxx\ylke.exe'
C:\Users\***-PC\AppData\Roaming\Coaxx\ylke.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> Object
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '482b54d1.qua' verschoben!

Ende des Suchlaufs: Mittwoch, 18. August 2010 17:00
Benötigte Zeit: 14:49 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
58 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
57 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise
131369 Objekte wurden beim Rootkitscan durchsucht
2 Versteckte Objekte wurden gefunden

Die Suchergebnisse werden an den Guard übermittelt.

markusg · 18.08.2010, 19:03

jo das ist ein gefährlicher passwort stealer. sichere deine daten, wir machen uns dann ans neu aufsetzen.
gib bescheid wenn fertig

kosova · 19.08.2010, 15:17

ja hey ehhh bist du dir da ganz sicher und ist das wirklich die besste möglichkeit ??

ich meine es könnte schwer werden ich wei0 nämlich nicht ob ich alle foraussetzungen für eine formatierung habe.... und ahnung habe ich erst recht nicht

ich sichere jetzt erst mal meine daten...

markusg · 19.08.2010, 15:52

du kommst hier jeden monat mit nem trojaner problem an, also scheint mit deiner konfiguration etwas nicht zu stimmen, außerdem solltest du an solch einem pc der so oft verseucht wird keine passwörter mehr eingeben, welche vorraussetzungen muss man denn bitte fürs formatieren erfüllen, beschreibe mal was da genau deine befürchtung ist.
du vertrödelst hier immer mehr zeit, besser du machst ihn neu, ich geb dir tipps zum absichern und du hast dann hoffendlich ruhe, solange du beim surfen nicht warlos auf alles klickst.

kosova · 19.08.2010, 16:05

AHA!

ok wir formatieren.

Meine Befürchtung:
1. ich habe 0 Ahnung was ich tun soll wenn der pc dann nicht mehr geht

2. ich habe glaube ich keine MS/Windows CD/DVD (wenn diese erforderlich ist zum "System neuaufsetzen") oder ich bin mir eben nicht sicher ob die DVD die ich habe auch die DVD ist die ich wirklich brauche??
(sie ist aufjedenfall selbst gemacht, aber nicht von mir, und es steht "MS Windows Vista" und eine andere DVD "Pacard Bios")

markusg · 19.08.2010, 16:21

also wenn da msvista drauf steht, sollte man davon ausgehen das vista drinn ist. du musst erst mal alle daten sichern. dann meldest dich noch mal, nur die daten der partition c: sind notwendig. da du nur c: zu formatieren brauchst

kosova · 19.08.2010, 16:24

ok.

spätestens morgenmittag melde ich mich wieder - bereit zum formatieren

bis dann

markusg · 19.08.2010, 16:27

bis dahin :-)

kosova · 20.08.2010, 15:24

hallo.

bin soweit fertig.
möchte aber lieber morgen mit der formatierung anfangen, weil ich nicht weiß wie lange das dauern könnte und auserdem habe ich heute keine zeit.

du kannst ja schon mal schreiben wie ich vorgehen soll...

danke

markusg · 20.08.2010, 15:27

windows cd rein, pc neu starten, pc wird von windows cd starten, anweisungen folgen, falls du selbst formatiern musst und es nicht zb ne recovery cd ist wähle nicht die schnelle formatierung. nach dem formatieren windows aufspielen, dann werden sofort! die windows updates gemacht, mit servicepack 2 und internetexplorer 8, dann kommt antivirus programm drauf.
1. solltest du nur noch als eingeschrenkter nutzer arbeiten , das admin konto ist nur für instalationen gedacht.
klicke start, tippe unter suchen (ausführen) systemsteuerung. wähle dort Benutzerkonten hinzufügen/entfernen.
wähle "neues konto erstellen"
Wähle standard benutzer.

die konten sollten mit einem passwort geschützt werden.
dazu auf konto endern klicken und passwörter vergeben.

Die folgenden konfigurationen als admin ausführen:
2. dep aktivieren:
dep für alle prozesse:
Datenausführungsverhinderung (DEP)
• "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:".
wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen.

3. sehop aktivieren:
SEHOP aktivieren:
Aktivieren von SEHOP (Structured Exception Handling Overwrite Protection) in Windows-Betriebssystemen
klicke auf "Feature automatisch aktivieren"
und folge den anweisungen

4. als browser den firefox nutzen:
Webbrowser Firefox | Schneller, sicherer & anpassbar | Mozilla Europe
5. als adon noscript, es werden dadurch alle scripts (java) zb blockiert, du kannst diese dann frei geben, in dem du auf der seite, die freigegeben werden
soll, nen rechtsklick machst, noscript wählst, und temporär alle berectigungen aufheben wählst, somit werden sie für den besuch aufgehoben, oder alle beschrenkungen
aufheben, somit wird die seite freigegeben. das kann man natürlich wieder rückgängig machen.
http://filepony.de/download-adblock_firefox//
hier gibt es noch filterlisten:
Adblock Plus: Bekannte Filterlisten für Adblock Plus
hier würde ich 2 oder 3 deutsche filter auswählen.

unter sonstiges die malware blocklist.
7.
um das surfen sicherer zu machen, würde ich Sandboxie empfehlen.
Download:
drop.io
(als pdf)
wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 25 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.
ab sofort also nur noch in der sanbox surfen bitte.
8. autorun für usb deaktivieren:
über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab.
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
9. um deine software aktuell zu halten, instaliere secunia.
http://www.trojaner-board.de/83959-s...ector-psi.html
und file hippo update checker:
FileHippo.com Update Checker - FileHippo.com
10.
regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht.
Acronis True Image 2010 - Festplatten-Backup-Software, Datei-Backup und Disk Imaging, Wiederherstellung von Anwendungseinstellungen, Backup von Musik, Videos, Fotos und Outlook-Mails
außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen.
Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden.
Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll.
11. endere alle passwörter.

kosova · 20.08.2010, 16:07

Zitat:

nach dem formatieren windows aufspielen, dann werden sofort! die windows updates gemacht, mit servicepack 2 und internetexplorer 8,

was passiert genau nachdm der formatierungsprozess fertig ist muss ich dann windows manuell aufspielen? wenn ja wie mach ich das? brauche ich noch ne weitere dvd? Ich weiß leider nicht wie das geht...

markusg · 20.08.2010, 16:35

ja mit der dvd über die du das formatieren auslöst. die schritte stehen dann beschrieben du musst nur den anweisungen folgen.

kosova · 21.08.2010, 19:03

hi habe jetzt endlich formatiert - ist alles gut gelaufen

NUR mein ganzes system ist jetzt komplett auf englisch alles ist auf englisch außer mozilla und avira

ich hoffe man kann das ändern

ich werde jetzt noch die restlichen updates machen danach die restlichen schritte und ich hoffe wie schon gesagt das man die sprache wieder auf deutsch stellen kann...

bis dann

18.08.2010, 19:03	#4
markusg /// Malware-holic	$TR/Crypt.XPACK.Gen - Coaxx\ylke.exe - Standard$ TR/Crypt.XPACK.Gen - Coaxx\ylke.exe jo das ist ein gefährlicher passwort stealer. sichere deine daten, wir machen uns dann ans neu aufsetzen. gib bescheid wenn fertig

19.08.2010, 16:21	#8
markusg /// Malware-holic	$TR/Crypt.XPACK.Gen - Coaxx\ylke.exe - Standard$ TR/Crypt.XPACK.Gen - Coaxx\ylke.exe also wenn da msvista drauf steht, sollte man davon ausgehen das vista drinn ist. du musst erst mal alle daten sichern. dann meldest dich noch mal, nur die daten der partition c: sind notwendig. da du nur c: zu formatieren brauchst

19.08.2010, 16:27	#10
markusg /// Malware-holic	$TR/Crypt.XPACK.Gen - Coaxx\ylke.exe - Standard$ TR/Crypt.XPACK.Gen - Coaxx\ylke.exe bis dahin :-)

20.08.2010, 16:35	#14
markusg /// Malware-holic	$TR/Crypt.XPACK.Gen - Coaxx\ylke.exe - Standard$ TR/Crypt.XPACK.Gen - Coaxx\ylke.exe ja mit der dvd über die du das formatieren auslöst. die schritte stehen dann beschrieben du musst nur den anweisungen folgen.

TR/Crypt.XPACK.Gen - Coaxx\ylke.exe

Log-Analyse und Auswertung: TR/Crypt.XPACK.Gen - Coaxx\ylke.exe