TR/Crypt.XPACK.GEN - Trojaner auf meinem Rechner
Themenstarter
Benutzer
seit: 06.02.2010
Beiträge: 2
TR/Crypt.XPACK.GEN - Trojaner auf meinem Rechner
Liebe Forumsmitglieder,
ich heiße Michael und habe mich gerade hier angemeldet, weil ich ein PC-Problem habe und hoffe, dass ich hier wichtige Infos erhalte, die mir bei der Lösung helfen. Ich habe schon einiges recherchiert und angewendet, weiß aber jetzt nicht mehr recht weiter.
Ich wurde erstmals auf ein Problem aufmerksam, als sich herausstellte, dass von meinem AOL-Account aus in der Nacht zu Freitag insgesamt 3 Mails mit einem Link auf eine Viagra-Werbung an insgesamt rund 20 Kontakte aus meinem AOL-Adressbuch verschickt wurden.
Ich hab dann den Filewalker von antivir laufen lassen. Der meldete dies:
Objekt
Kgen.exe
Fund
TR/Crypt.XPACK.GEN
Er wurde dann in Quarantäne genommen. Ich hatte aber schon gelesen, dass das nicht unbedingt das Problem löst. Nach Neustart und erneutem Scan meldete Filewalker dann dies:
objekt:
A0103972.exe
Fund
TR/Crypt.XPACK.GEN
Hab dann Hijackthis geladen und folgenden Report erhalten:
-------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:38:28, on 06.02.2010
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Safe mode
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Thomson SpeedTouch\SpeedTouch 120g Wireless USB Monitor\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [EPSON Stylus D92 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIB ZE.EXE /FU "C:\WINDOWS\TEMP\E_SBD.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [RegistryMechanic] C:\Programme\Registry Mechanic\RegMech.exe /H
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView5\NkvMon.exe
O4 - Global Startup: SpeedTouch 120g Wireless USB Monitor.lnk = C:\Programme\Thomson SpeedTouch\SpeedTouch 120g Wireless USB Monitor\st120g.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{1A1D0FD6-1CC4-4E1D-A786-4F5F457FD381}: NameServer = 192.168.1.1
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService .exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\NVC\BIN\Zanda.exe
O23 - Service: PC Tools Startup and Shutdown Monitor service (PCToolsSSDMonitorSvc) - PC Tools - C:\Programme\Gemeinsame Dateien\PC Tools\sMonitor\StartManSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\MICHI\LOKALE~1\TEMP\_VWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
--
End of file - 6378 bytes
---
Die folgende Datei hab ich dann mal bei virustotal.com eingegeben
C:\DOKUME~1\MICHI\LOKALE~1\TEMP\_VWUPSRV.
Ergebnis: dieser permalink
analisis/0b830c9101afaef79cb3842be9d4cac433e6bfaa207fa3a7fc af6ee106514f23-1254340846
und das hier stand darüber
MD5: 7d41a8e0f4561dfa82d5aeb37a2fa9b5
First received: 2009.09.30 20:00:46 UTC
Date: 2009.09.30 20:00:46 UTC [>128D]
Results: 0/41
hab dann noch versucht, registry mechanic laufen zu lassen, das hat sich mittendrin geschlossen. im abgesicherten modus passierte das nach einigen minuten genauso.
Das ist der Stand der Dinge. Wie würdet Ihr jetzt weiter vorgehen?
Danke und viele Grüße
Michael
Moderator
seit: 19.05.2008
Beiträge: 11.775
Hi,
dein Logfile ist sauber, aber....
dein Windows ist total veraltet, du rennst mit XP Servicepack 1 durch die Gegend und dem IE 6
ändere das ganz schnell, Windows XP hat mittlerweile Servicepack 3 und der IE heißt jetzt IE 8.
Ansonsten lass noch mal einen aktualisierten Virenscanner laufen, damit auch sichergestellt ist das alles weg ist.
LG
Themenstarter
Benutzer
seit: 06.02.2010
Beiträge: 2
DAnke, Q-max. sp 3 und ie 8 sind jetzt installiert. weiß man, wo TR/Crypt.XPACK.GEN herkommt und was üblicherweise sein ziel ist? ich habe den jetzt zweimal (aus 2 durchläufen) in quarantäne im antivir filewalker. dazu bei malwarebytes "Adware.ADONFileC:\..." auch in quarantäne.
ist denn die akute gefahr für den moment abgewendet? muss ich meine online-konten sperren lassen? wie würdest du weiter vorgehen?
Moderator
seit: 19.05.2008
Beiträge: 11.775
Hi,
möglicher Weise steckt das Ding in deinen Systemwiederherstellungsdateien.
Dazu müsstest du uns aber den kompletten Pfad nennen, den Antivir und malwarebytes dir beim Fund angeben.
LG
Ähnliche Themen
Von Mick im Forum Antivirus und PC Sicherheit
Antworten: 5
Letzter Beitrag: 10.08.2008, 21:59
Von jugla im Forum Antivirus und PC Sicherheit
Antworten: 10
Letzter Beitrag: 14.07.2008, 21:15
Von 4ndY im Forum Antivirus und PC Sicherheit
Antworten: 4
Letzter Beitrag: 25.09.2007, 16:28
Von dYnaMiX im Forum Antivirus und PC Sicherheit
Antworten: 4
Letzter Beitrag: 29.01.2007, 16:17