TR/Crypt.XPACK.GEN - Trojaner auf meinem Rechner

3Antworten
  1. #1
    Avatar von miker
    miker ist offline
    Themen Starter

    Title
    Benutzer
    seit
    06.02.2010
    Beiträge
    2

    Standard TR/Crypt.XPACK.GEN - Trojaner auf meinem Rechner

    Liebe Forumsmitglieder,

    ich heiße Michael und habe mich gerade hier angemeldet, weil ich ein PC-Problem habe und hoffe, dass ich hier wichtige Infos erhalte, die mir bei der Lösung helfen. Ich habe schon einiges recherchiert und angewendet, weiß aber jetzt nicht mehr recht weiter.

    Ich wurde erstmals auf ein Problem aufmerksam, als sich herausstellte, dass von meinem AOL-Account aus in der Nacht zu Freitag insgesamt 3 Mails mit einem Link auf eine Viagra-Werbung an insgesamt rund 20 Kontakte aus meinem AOL-Adressbuch verschickt wurden.

    Ich hab dann den Filewalker von antivir laufen lassen. Der meldete dies:

    Objekt

    Kgen.exe

    Fund

    TR/Crypt.XPACK.GEN

    Er wurde dann in Quarantäne genommen. Ich hatte aber schon gelesen, dass das nicht unbedingt das Problem löst. Nach Neustart und erneutem Scan meldete Filewalker dann dies:


    objekt:

    A0103972.exe

    Fund

    TR/Crypt.XPACK.GEN

    Hab dann Hijackthis geladen und folgenden Report erhalten:

    -------

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 22:38:28, on 06.02.2010
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Safe mode

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
    O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
    O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
    O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
    O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
    O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
    O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Thomson SpeedTouch\SpeedTouch 120g Wireless USB Monitor\PRISMSVR.EXE" /APPLY
    O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
    O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
    O4 - HKCU\..\Run: [EPSON Stylus D92 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIB ZE.EXE /FU "C:\WINDOWS\TEMP\E_SBD.tmp" /EF "HKCU"
    O4 - HKCU\..\Run: [RegistryMechanic] C:\Programme\Registry Mechanic\RegMech.exe /H
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
    O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = ?
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView5\NkvMon.exe
    O4 - Global Startup: SpeedTouch 120g Wireless USB Monitor.lnk = C:\Programme\Thomson SpeedTouch\SpeedTouch 120g Wireless USB Monitor\st120g.exe
    O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
    O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
    O17 - HKLM\System\CCS\Services\Tcpip\..\{1A1D0FD6-1CC4-4E1D-A786-4F5F457FD381}: NameServer = 192.168.1.1
    O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
    O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService .exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
    O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\NVC\BIN\Zanda.exe
    O23 - Service: PC Tools Startup and Shutdown Monitor service (PCToolsSSDMonitorSvc) - PC Tools - C:\Programme\Gemeinsame Dateien\PC Tools\sMonitor\StartManSvc.exe
    O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
    O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\MICHI\LOKALE~1\TEMP\_VWUPSRV.EXE
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    --
    End of file - 6378 bytes

    ---

    Die folgende Datei hab ich dann mal bei virustotal.com eingegeben

    C:\DOKUME~1\MICHI\LOKALE~1\TEMP\_VWUPSRV.

    Ergebnis: dieser permalink

    analisis/0b830c9101afaef79cb3842be9d4cac433e6bfaa207fa3a7fc af6ee106514f23-1254340846

    und das hier stand darüber

    MD5: 7d41a8e0f4561dfa82d5aeb37a2fa9b5
    First received: 2009.09.30 20:00:46 UTC
    Date: 2009.09.30 20:00:46 UTC [>128D]
    Results: 0/41

    hab dann noch versucht, registry mechanic laufen zu lassen, das hat sich mittendrin geschlossen. im abgesicherten modus passierte das nach einigen minuten genauso.

    Das ist der Stand der Dinge. Wie würdet Ihr jetzt weiter vorgehen?

    Danke und viele Grüße

    Michael

  2. #2
    Avatar von Q-Max
    Q-Max ist offline

    Title
    Moderator
    seit
    19.05.2008
    Ort
    Laatzen bei Hannover
    Beiträge
    11.775

    Standard

    Hi,

    dein Logfile ist sauber, aber....

    dein Windows ist total veraltet, du rennst mit XP Servicepack 1 durch die Gegend und dem IE 6

    ändere das ganz schnell, Windows XP hat mittlerweile Servicepack 3 und der IE heißt jetzt IE 8.

    Ansonsten lass noch mal einen aktualisierten Virenscanner laufen, damit auch sichergestellt ist das alles weg ist.

    LG

  3. #3
    Avatar von miker
    miker ist offline
    Themen Starter

    Title
    Benutzer
    seit
    06.02.2010
    Beiträge
    2

    Standard

    DAnke, Q-max. sp 3 und ie 8 sind jetzt installiert. weiß man, wo TR/Crypt.XPACK.GEN herkommt und was üblicherweise sein ziel ist? ich habe den jetzt zweimal (aus 2 durchläufen) in quarantäne im antivir filewalker. dazu bei malwarebytes "Adware.ADONFileC:\..." auch in quarantäne.

    ist denn die akute gefahr für den moment abgewendet? muss ich meine online-konten sperren lassen? wie würdest du weiter vorgehen?

  4. #4
    Avatar von Q-Max
    Q-Max ist offline

    Title
    Moderator
    seit
    19.05.2008
    Ort
    Laatzen bei Hannover
    Beiträge
    11.775

    Standard

    Hi,

    möglicher Weise steckt das Ding in deinen Systemwiederherstellungsdateien.

    Dazu müsstest du uns aber den kompletten Pfad nennen, den Antivir und malwarebytes dir beim Fund angeben.

    LG

Ähnliche Themen

  1. Meldung AntiVir - Trojaner TR/Crypt.FKM.Gen

    Von Mick im Forum Antivirus und PC Sicherheit
    Antworten: 5
    Letzter Beitrag: 10.08.2008, 21:59
  2. virus tr/crypt.xpack.gen

    Von jugla im Forum Antivirus und PC Sicherheit
    Antworten: 10
    Letzter Beitrag: 14.07.2008, 21:15
  3. TR/crypt.xpack.gen > HILFE!!!

    Von 4ndY im Forum Antivirus und PC Sicherheit
    Antworten: 4
    Letzter Beitrag: 25.09.2007, 16:28
  4. HILFE TR/Crypt.XPACK.Gen

    Von dYnaMiX im Forum Antivirus und PC Sicherheit
    Antworten: 4
    Letzter Beitrag: 29.01.2007, 16:17
Diese Seite benutzt Cookies Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Infos zum Datenschutz