Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: TR/Crypt.XPACK.Gen auf dem Rechner oder Fehlalarm ?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 02.11.2010, 09:30   #1
Schranzi386
 
TR/Crypt.XPACK.Gen auf dem Rechner oder Fehlalarm ? - Standard

TR/Crypt.XPACK.Gen auf dem Rechner oder Fehlalarm ?



Hey liebe Forenmitlgieder,
heute morgen habe ich festgestellt das AntiVir mehrere Trojaner auf meinem Rechner gefunden hat. Die Trojaner wurden komischerweise immer zugelassen. Ein voller Suchlauf mit AntiVir brachte keinen Fund.

Ich habe in mehreren Foren gelesen das es sich auch um einen Fehlalarm handeln könnte, da ich mich selber aber mit PCs nicht so gut auskenne würde ich gerne eure Meinung hören.

Die Datei hat sich in allen Fällen in dem Ordner 'C:\WINDOWS\Temp\_avast4_\xxxx.tmp versteckt, aber in dem Ordner habe ich keine einzige Datei gefunden.

Wie gefährlich ist die Datei TR/Crypt.XPACK.Gen wirklich ?? Und was kann ich tun um auszuschliessen einen wirklich gefärhlichen Trojaner der evtl. meine Passwörter etc. stiehlt auf dem PC zu haben??

HiJack Log:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\G Data\GDScan\GDScan.exe
C:\Programme\G Data\InternetSecurity\AVK\AVKWCtl.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\G Data\InternetSecurity\AVKTray\AVKTray.exe
C:\Programme\G Data\InternetSecurity\Firewall\GDFirewallTray.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\G Data\AVKProxy\AVKProxy.exe
C:\Programme\G Data\InternetSecurity\AVK\AVKService.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\G Data\InternetSecurity\Firewall\GDFwSvc.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jucheck.exe
c:\programme\avira\antivir desktop\avcenter.exe
C:\Programme\G Data\InternetSecurity\GUI\GDSC.exe
c:\programme\avira\antivir desktop\avscan.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\plugin-container.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\HiJackThis204.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: G Data WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G Data\InternetSecurity\WebFilter\AvkWebIE.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: G Data WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G Data\InternetSecurity\WebFilter\AvkWebIE.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [G Data AntiVirus Tray Application] C:\Programme\G Data\InternetSecurity\AVKTray\AVKTray.exe
O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G Data\InternetSecurity\Firewall\GDFirewallTray.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - hxxp://download.bitdefender.com/resources/scanner/sources/de/scan8/oscan8.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{404A0F4A-00DE-4B8A-8D07-E4A8420982C0}: NameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{C6CF11BC-9D28-4C03-AAFF-0BF7F00A9DE2}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{404A0F4A-00DE-4B8A-8D07-E4A8420982C0}: NameServer = 192.168.178.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{404A0F4A-00DE-4B8A-8D07-E4A8420982C0}: NameServer = 192.168.178.1
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: G Data AntiVirus Proxy (AVKProxy) - G Data Software AG - C:\Programme\Gemeinsame Dateien\G Data\AVKProxy\AVKProxy.exe
O23 - Service: G Data Scheduler (AVKService) - G Data Software AG - C:\Programme\G Data\InternetSecurity\AVK\AVKService.exe
O23 - Service: G Data Dateisystem Wächter (AVKWCtl) - Unknown owner - C:\Programme\G Data\InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: G Data Personal Firewall (GDFwSvc) - G Data Software AG - C:\Programme\G Data\InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: G Data Scanner (GDScan) - G Data Software AG - C:\Programme\Gemeinsame Dateien\G Data\GDScan\GDScan.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccess - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe

Vielen Dank im vorraus

Alt 02.11.2010, 10:56   #2
markusg
/// Malware-holic
 
TR/Crypt.XPACK.Gen auf dem Rechner oder Fehlalarm ? - Standard

TR/Crypt.XPACK.Gen auf dem Rechner oder Fehlalarm ?



hi, kannst du mal in der quarantäne von avira schauen? unter avira, verwaltung, quarantäne, sind die dateien dort zu finden?
__________________


Alt 02.11.2010, 11:37   #3
Schranzi386
 
TR/Crypt.XPACK.Gen auf dem Rechner oder Fehlalarm ? - Standard

TR/Crypt.XPACK.Gen auf dem Rechner oder Fehlalarm ?



Zitat:
Zitat von markusg Beitrag anzeigen
hi, kannst du mal in der quarantäne von avira schauen? unter avira, verwaltung, quarantäne, sind die dateien dort zu finden?
In der Quarantäne sind keine Dateien zu finden. Ein Suchlauf hat auch keine Funde gebracht. Aber um 9.45 hat AntiVir wieder die Datei TR/Crypt.XPACK.Gen gefunden und zu dem Zeitpunkt war ich nicht zu hause und niemand am Rechner. Nur Spybot und GData ( mein eigentliches Virenprogramm ) liefen durch. Auch GData hat keine verdächtige Datei gefunden. GDATA und AntiVir liefen seit ca. 3-4 Tagen parallel zueinander ( nicht gut, ich weiß ).

Mich wundert es eh, das AntiVir ohne zu fragen die Datei den Zugriff erlaubt.

Der Ordner in dem die Dateien sich befinden sollen ist 0 Byte groß und es befinden sich keine Dateien darin.
__________________

Geändert von Schranzi386 (02.11.2010 um 11:47 Uhr)

Alt 02.11.2010, 11:47   #4
markusg
/// Malware-holic
 
TR/Crypt.XPACK.Gen auf dem Rechner oder Fehlalarm ? - Standard

TR/Crypt.XPACK.Gen auf dem Rechner oder Fehlalarm ?



jetzt sehe ichs erst, warum hast du 2 antiviren programme laufen, 1 reicht, dass kann, wie hier, zu fehlalarmen führen. avira erkennt ne datei von avast, welches bestandteil von gdata ist.

Alt 02.11.2010, 12:03   #5
Schranzi386
 
TR/Crypt.XPACK.Gen auf dem Rechner oder Fehlalarm ? - Standard

TR/Crypt.XPACK.Gen auf dem Rechner oder Fehlalarm ?



Zitat:
Zitat von markusg Beitrag anzeigen
jetzt sehe ichs erst, warum hast du 2 antiviren programme laufen, 1 reicht, dass kann, wie hier, zu fehlalarmen führen. avira erkennt ne datei von avast, welches bestandteil von gdata ist.
Also ist die Wahrscheinlichtkeit eines Fehlalarms groß ??

Was würdest du als Virenprogramm nutzen ??

Habe AntiVir gezogen, weil auf einem Rechner im Netzwerk nen ziemlich mieser Virus ist und auf dem anderen Rechner AntiVir läuft. Um sicher zu gehen das dieser Rechner nicht auch verseucht ist habe ich mehrere Virenscanner und auch Online Scanner durchlaufen lassen. Ich muss halt zu 100 % sicher sein das der Rechner hier nicht verseucht ist, da Online Banking etc. über ihn läuft.


Alt 02.11.2010, 12:14   #6
markusg
/// Malware-holic
 
TR/Crypt.XPACK.Gen auf dem Rechner oder Fehlalarm ? - Standard

TR/Crypt.XPACK.Gen auf dem Rechner oder Fehlalarm ?



nutze gdata, das ist ja sicherlich bezahlt.
poste mal n neues HijackThis log, der kopf des logs fehlt.
der rechner sieht aber sauber aus.

Alt 02.11.2010, 12:28   #7
Schranzi386
 
TR/Crypt.XPACK.Gen auf dem Rechner oder Fehlalarm ? - Standard

TR/Crypt.XPACK.Gen auf dem Rechner oder Fehlalarm ?



HiJackthis Logfile:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12:28:11, on 02.11.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\G Data\GDScan\GDScan.exe
C:\Programme\G Data\InternetSecurity\AVK\AVKWCtl.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\G Data\InternetSecurity\AVKTray\AVKTray.exe
C:\Programme\G Data\InternetSecurity\Firewall\GDFirewallTray.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\G Data\AVKProxy\AVKProxy.exe
C:\Programme\G Data\InternetSecurity\AVK\AVKService.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\G Data\InternetSecurity\Firewall\GDFwSvc.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jucheck.exe
C:\Programme\G Data\InternetSecurity\GUI\GDSC.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Java\jre6\bin\java.exe
C:\Programme\Mozilla Firefox\plugin-container.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Java\jre6\bin\java.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Andy\Desktop\HiJackThis204.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: G Data WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G Data\InternetSecurity\WebFilter\AvkWebIE.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: G Data WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G Data\InternetSecurity\WebFilter\AvkWebIE.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [G Data AntiVirus Tray Application] C:\Programme\G Data\InternetSecurity\AVKTray\AVKTray.exe
O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G Data\InternetSecurity\Firewall\GDFirewallTray.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - hxxp://download.bitdefender.com/resources/scanner/sources/de/scan8/oscan8.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{404A0F4A-00DE-4B8A-8D07-E4A8420982C0}: NameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{C6CF11BC-9D28-4C03-AAFF-0BF7F00A9DE2}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{404A0F4A-00DE-4B8A-8D07-E4A8420982C0}: NameServer = 192.168.178.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{404A0F4A-00DE-4B8A-8D07-E4A8420982C0}: NameServer = 192.168.178.1
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: G Data AntiVirus Proxy (AVKProxy) - G Data Software AG - C:\Programme\Gemeinsame Dateien\G Data\AVKProxy\AVKProxy.exe
O23 - Service: G Data Scheduler (AVKService) - G Data Software AG - C:\Programme\G Data\InternetSecurity\AVK\AVKService.exe
O23 - Service: G Data Dateisystem Wächter (AVKWCtl) - Unknown owner - C:\Programme\G Data\InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: G Data Personal Firewall (GDFwSvc) - G Data Software AG - C:\Programme\G Data\InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: G Data Scanner (GDScan) - G Data Software AG - C:\Programme\Gemeinsame Dateien\G Data\GDScan\GDScan.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccess - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe

--
End of file - 8967 bytes
         
--- --- ---

Alt 02.11.2010, 12:33   #8
markusg
/// Malware-holic
 
TR/Crypt.XPACK.Gen auf dem Rechner oder Fehlalarm ? - Standard

TR/Crypt.XPACK.Gen auf dem Rechner oder Fehlalarm ?



vorbildlich geupdatet sehr schön :-)
ich würde dir, falls erwünscht, noch tipps geben, den pc sicherer zu machen.

Alt 02.11.2010, 12:36   #9
Schranzi386
 
TR/Crypt.XPACK.Gen auf dem Rechner oder Fehlalarm ? - Standard

TR/Crypt.XPACK.Gen auf dem Rechner oder Fehlalarm ?



Na dann schieß los ... der PC sollte so sicher sein wie nur möglich, weil wirklich vieles über ihn läuft...

Alt 02.11.2010, 12:50   #10
markusg
/// Malware-holic
 
TR/Crypt.XPACK.Gen auf dem Rechner oder Fehlalarm ? - Standard

TR/Crypt.XPACK.Gen auf dem Rechner oder Fehlalarm ?



na dann gehts los.
dep für alle prozesse:
Datenausführungsverhinderung (DEP)
• "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:".
wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen.

ich würde auf den firefox verzichten, er hat in den letzten monat einiges an sicherheitslücken aufgewiesen und ist daher sogar unsicherer als der internet explorer.
schau dir mal den opera an:
Opera Webbrowser | Schneller & sicherer | Die neuen Internet-Browser kostenlos herunterladen
dieser ist, finde ich, auch wesendlich schneller.
mit diesem tool lässt sich ein werbeblocker laden
Opera AdBlock Configurator - Freeware - DE - Download.CHIP.eu
zusätzlich kannst du das auch manuell erledigen, falls mal etwas nicht geblockt wird:
Computerbase - Werbung blockieren
lesezeichen importieren:
Windows-Dienste sicher konfigurieren und abschalten (Windows 7/Vista/XP/2000) - www.ntsvcfg.de
download link ist hier
http://ntsvcfg.de/svc2kxp.zip
lies den abschnitt über die svc2kxp.md
du solltest die methode 3 wählen, diese ist die sicherste.
je weniger dienste der pc nach außen anbietet, desto besser.
automatische windows updates sowie inteligenter hintergrundübertragunsdienst sollten schon aktiev sein, prüfe das bitte nachdem du das tool ausgeführt hast nach.
start ausführen
services.msc
suche die beiden dienste und schaue ob der starttyp automatisch lautet, falls nicht, wähle den dienst aus, rechtsklick, eigenschaften, starttyp automatisch

um das surfen sicherer zu machen, würde ich Sandboxie empfehlen.
Download:
drop.io
(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.

autorun deaktivieren:
über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab.
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
usb sticks, festplatten etc, sollte man mit panda vaccine impfen:
ANTIMALWARE: Panda USB Vaccine - Download FREE - PANDA SECURITY
so holt man sich keine infektionen ins haus, wenn man mal die festplatte etc verleit.
hake an:
hake an:
run panda usb vaccine automatically when computer boots
automatically vaccine any new insert usb key
enable ntfs file suport


Updates sind für dein system genauso wichtig, wie ein antivirenscanner. Sehr häufig gelangen schädlinge nur aufs system, weil der user veraltete software nutzt.
instaliere die folgenden update checker.
Secunia:
http://www.trojaner-board.de/83959-s...ector-psi.html
und file hippo update checker:
FileHippo.com Update Checker - FileHippo.com
das file Hippo Symbol wird im infobereich neben der uhr auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok.
dann doppelklicke file hippo, eine Internetseite wird geöffnet, auf der dier die aktuellsten updates gezeigt werden, diese downloaden und instalieren.

Beide programme sollten im autostart bleiben, und sobald eines der programme updates anzeigt sollten diese umgehend instaliert werden.

regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht.
Acronis True Image 2011 - Festplatten-Backup-Software, Datei-Backup und Disk Imaging, Wiederherstellung von Anwendungseinstellungen, Backup von Musik, Videos, Fotos und Outlook-Mails
außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen.
Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden.
Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll.

surfe also ab sofort nur noch in der sandbox, mit klick auf "sandboxed web browser".

Alt 02.11.2010, 13:00   #11
Schranzi386
 
TR/Crypt.XPACK.Gen auf dem Rechner oder Fehlalarm ? - Standard

TR/Crypt.XPACK.Gen auf dem Rechner oder Fehlalarm ?



Danke erstmal für deine Hilfe.

Das Mozialla viele Sicherheitslücken hat wusste ich bisher noch nicht. Aber ich finde Mozilla läuft auf einigen Seiten einfach stabiler als der IE. Wäre Safari auch eine Alternative zu Mozilla ??

Alt 02.11.2010, 13:02   #12
markusg
/// Malware-holic
 
TR/Crypt.XPACK.Gen auf dem Rechner oder Fehlalarm ? - Standard

TR/Crypt.XPACK.Gen auf dem Rechner oder Fehlalarm ?



was ist an opera auszusetzen?

Alt 02.11.2010, 13:27   #13
Schranzi386
 
TR/Crypt.XPACK.Gen auf dem Rechner oder Fehlalarm ? - Standard

TR/Crypt.XPACK.Gen auf dem Rechner oder Fehlalarm ?



Zitat:
Zitat von markusg Beitrag anzeigen
was ist an opera auszusetzen?
Eigentlich nichts, habe Safari nur schon mal genutzt. Werde es auf jeden Fall ausprobieren.

Danke für die ganzen Tipps und Hilfen.

Alt 02.11.2010, 13:30   #14
markusg
/// Malware-holic
 
TR/Crypt.XPACK.Gen auf dem Rechner oder Fehlalarm ? - Standard

TR/Crypt.XPACK.Gen auf dem Rechner oder Fehlalarm ?



ok, wenn dir opera nicht zusagt, dann sag bescheid dann muss ich dir die anleitung für nen andern browser deiner wahl anpassen.
wie siehts mit pc2 aus, habt ihr den bereinigt oder soll ich mir da noch was ansehen?

Alt 02.11.2010, 14:17   #15
Schranzi386
 
TR/Crypt.XPACK.Gen auf dem Rechner oder Fehlalarm ? - Standard

TR/Crypt.XPACK.Gen auf dem Rechner oder Fehlalarm ?



Zitat:
Zitat von markusg Beitrag anzeigen
ok, wenn dir opera nicht zusagt, dann sag bescheid dann muss ich dir die anleitung für nen andern browser deiner wahl anpassen.
wie siehts mit pc2 aus, habt ihr den bereinigt oder soll ich mir da noch was ansehen?
Den zweiten PC werde ich komplett platt machen. Jedes mal wenn ich Mozilla oder den Internet Explorer dort starte bekomme ich eine Virenmeldung. Der Rechner ist zudem relativ zugemüllt, da ich praktisch alles mit ihm mache. Ich finde dort zumindest ist es die einfachere Lösung das System komplett neu aufzusetzen.

Aber trotzdem vielen Dank für das Angebot.

Antwort

Themen zu TR/Crypt.XPACK.Gen auf dem Rechner oder Fehlalarm ?
adobe, antivir, antivir guard, antivirus, avast, avg, avira, bho, canon, cdburnerxp, dateisystem, defender, desktop, dsl, einstellungen, excel, fehlalarm, firefox, hijackthis, hkus\s-1-5-18, internet explorer, mozilla, plug-in, security, software, system, temp, tr/crypt.xpack.ge, tr/crypt.xpack.gen, trojaner, windows




Ähnliche Themen: TR/Crypt.XPACK.Gen auf dem Rechner oder Fehlalarm ?


  1. Avira meldet 'TR/Crypt.ZPACK.Gen [trojan]' - Fehlalarm oder echt?
    Plagegeister aller Art und deren Bekämpfung - 23.08.2015 (5)
  2. Avira Scan, Trojaner TR/Crypt.ZPACK.50636 gefunden, Fehlalarm oder echter Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 04.12.2014 (17)
  3. TR/Crypt.ZPACK.Gen2 - Avira Fehlalarm oder gefährlicher Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 08.12.2013 (5)
  4. Trojanisches Pferd TR/Crypt.XPACK.Gen3 gefunden ... Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 07.04.2013 (11)
  5. Virus (TR/Crypt.XPACK.Gen7) oder Fehlalarm?
    Log-Analyse und Auswertung - 23.03.2013 (10)
  6. TR/Crypt.XPACK.Gen7 auf WHS und win7 Rechner eingezogen
    Plagegeister aller Art und deren Bekämpfung - 01.02.2013 (7)
  7. TR/Crypt.XPACK.Gen Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 22.07.2011 (3)
  8. click.GiftLoad oder TR/Crypt.XPACK.Gen2 oder Rootkit.TDSS.Gen ?
    Plagegeister aller Art und deren Bekämpfung - 03.05.2011 (3)
  9. TR/Crypt.XPACK.Gen3 auf Rechner zwei mal gefunden.
    Plagegeister aller Art und deren Bekämpfung - 11.04.2011 (25)
  10. TR/Crypt.XPACK.Gen gefunden von Antivir. Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 16.04.2010 (2)
  11. Verdacht auf Fehlalarm: TR/Crypt.XPACK.Gen
    Log-Analyse und Auswertung - 27.03.2010 (10)
  12. Avira zeigt Trojaner tr crypt.xpack.gen an?Gefährlich oder Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 16.09.2009 (8)
  13. TR/Dropper.Gen und/oder TR/Crypt.XPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 29.04.2009 (7)
  14. TR/Crypt.XPACK.Gen gelöscht, oder nicht?
    Plagegeister aller Art und deren Bekämpfung - 01.03.2009 (147)
  15. Trohjahner oder nicht -TR/Crypt.XPACK.Gen
    Log-Analyse und Auswertung - 17.02.2008 (11)
  16. TR/Crypt.XPACK.Gen Format C oder nicht?
    Plagegeister aller Art und deren Bekämpfung - 08.10.2007 (2)
  17. Crypt.XPACK.gen und Rbot50176.5 auf meinem Rechner
    Log-Analyse und Auswertung - 19.03.2007 (26)

Zum Thema TR/Crypt.XPACK.Gen auf dem Rechner oder Fehlalarm ? - Hey liebe Forenmitlgieder, heute morgen habe ich festgestellt das AntiVir mehrere Trojaner auf meinem Rechner gefunden hat. Die Trojaner wurden komischerweise immer zugelassen. Ein voller Suchlauf mit AntiVir brachte keinen - TR/Crypt.XPACK.Gen auf dem Rechner oder Fehlalarm ?...
Archiv
Du betrachtest: TR/Crypt.XPACK.Gen auf dem Rechner oder Fehlalarm ? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.