TR/Crypt.XPACK.Gen

  • geschlossen
  • Problem

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • TR/Crypt.XPACK.Gen

    Hi, ich hab seit heute folgendes Problem. Antivir meldet mir den Trojaner TR/Crypt.XPACK.Gen und ich kriege ihn nicht gelöscht. Auch wenn ich immer auf löschen klicke, es kommt alle 2 min wieder.

    Jetz hab ich mal gegooglet und eig nur schlechtes rausgefunden. Also formatieren soll einzige Lösung sein. Aber kann es vllt auch noch einen anderen Lösungsweg geben? Wie sieht das mit einer Systemwiederherstellung aus? Und wenn ich die ausführe, werden dann auch Word-Dateien gelöscht, die ich z.B. erst gerade erstellt habe? Oder was wird da geamcht?

    Ich poste auch mal die Hijack This Logfile, nur leider kann ich da nichts draus erkennen:

    Vielen Dank schon mal im Vorraus ich hoffe ihr könnt mir helfen! :)

    Quellcode

    1. Logfile of Trend Micro HijackThis v2.0.2
    2. Scan saved at 16:05:54, on 15.12.2008
    3. Platform: Windows Vista SP1 (WinNT 6.00.1905)
    4. MSIE: Internet Explorer v7.00 (7.00.6001.18000)
    5. Boot mode: Normal
    6. Running processes:
    7. C:\Windows\system32\taskeng.exe
    8. C:\Windows\system32\Dwm.exe
    9. C:\Windows\Explorer.EXE
    10. C:\Windows\system32\taskeng.exe
    11. C:\Program Files\ASUS\SmartLogon\sensorsrv.exe
    12. C:\Program Files\ASUS\ASUS Live Update\ALU.exe
    13. C:\Program Files\Windows Defender\MSASCui.exe
    14. C:\Windows\RtHDVCpl.exe
    15. C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    16. C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    17. C:\Program Files\ASUS\ATK Media\DMedia.exe
    18. C:\Windows\System32\rundll32.exe
    19. C:\Program Files\DAEMON Tools Lite\daemon.exe
    20. C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    21. C:\Program Files\Windows Media Player\wmpnscfg.exe
    22. C:\Windows\System32\rundll32.exe
    23. C:\Program Files\Mozilla Firefox\firefox.exe
    24. C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
    25. C:\Windows\system32\SearchFilterHost.exe
    26. C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
    27. R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    28. R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.asus.com
    29. R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
    30. R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    31. R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    32. R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    33. R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    34. R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    35. R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    36. R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    37. O1 - Hosts: ::1 localhost
    38. O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    39. O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    40. O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    41. O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    42. O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
    43. O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
    44. O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
    45. O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
    46. O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    47. O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    48. O4 - HKLM\..\Run: [MSConfig] "C:\Windows\system32\msconfig.exe" /auto
    49. O4 - HKLM\..\Run: [Skytel] Skytel.exe
    50. O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMEDIA.EXE
    51. O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
    52. O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
    53. O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
    54. O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
    55. O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    56. O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
    57. O4 - HKCU\..\RunOnce: [ ISSetupPrerequisistes] "F:\comrade\ComradeSetup.exe /s /v"/qb"
    58. O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
    59. O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
    60. O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
    61. O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    62. O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    63. O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
    64. O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
    65. O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    66. O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
    67. O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
    68. O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    69. O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    70. O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
    71. O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
    72. O13 - Gopher Prefix:
    73. O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
    74. O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    75. O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    76. O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
    77. O17 - HKLM\System\CCS\Services\Tcpip\..\{C81938B7-9ED4-46BD-93F2-3C1FD7907CD3}: NameServer = 85.255.114.26;85.255.112.79
    78. O17 - HKLM\System\CCS\Services\Tcpip\..\{FF02E2FD-FAC4-4E4C-B31D-B12EF6CB95B8}: NameServer = 85.255.114.26;85.255.112.79
    79. O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.26;85.255.112.79
    80. O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.26;85.255.112.79
    81. O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
    82. O23 - Service: ABBYY FineReader 9.0 PE Licensing Service (ABBYY.Licensing.FineReader.Professional.9.0) - ABBYY (BIT Software) - C:\Program Files\Common Files\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe
    83. O23 - Service: ADSM Service (ADSMService) - Unknown owner - C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe
    84. O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    85. O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    86. O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    87. O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
    88. O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
    89. O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    90. O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    91. O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    92. O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    93. O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    94. O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
    95. O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
    96. O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
    97. O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
    98. O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
    99. O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
    100. O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe
    101. --
    102. End of file - 9174 bytes
    Alles anzeigen
  • Hallo pumpkin90,

    dein logfile hat eigentlich keine großen Auffälligkeiten, bis auf ein paar komische IP`s
    Ich vermute mal damit du nichts mit der Ukraine zu tun hast, also fixe folgende Einträge mit HijackThis:

    HTML-Quellcode

    1. O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    2. O17 - HKLM\System\CCS\Services\Tcpip\..\{C81938B7-9ED4-46BD-93F2-3C1FD7907CD3}: NameServer = 85.255.114.26 85.255.112.79
    3. O17 - HKLM\System\CCS\Services\Tcpip\..\{FF02E2FD-FAC4-4E4C-B31D-B12EF6CB95B8}: NameServer = 85.255.114.26 85.255.112.79
    4. O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.26 85.255.112.79
    5. O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.26 85.255.112.79


    Deine Frage zur Systemwiederherstellung und den Worddateien würde ich folgendermassen beantworten, die Dateien kannst du jeder Zeit auf ein anderes Medium wie z.B USB Stick usw.sichern danach kannst du die Systemmiederherstellung machen. Die Frage ist nur ob der Virus dann weg ist.
    Es wäre auch mal interessant in welchem Ordner der Kamerad sich befindet.
    Lade dir mal Malwarebytes herunter. Installieren, danach sofort updaten und dann scannen. Funde kannst du in Quarantäne verschieben oder löschen den Bericht kannst du ins Forum posten.
    Gruß Fotoprinz

    Dieser Beitrag wurde bereits 4 mal editiert, zuletzt von Fotoprinz ()

  • Hallo,


    Antivir kann diesen Trojaner nicht löschen. Warum sträuben sich immer alle so, wenn es heisst Festplatte formatieren?

    Danach erst kannst Du aber sicher sein, daß Dein System wieder sauber ist.
    Eine Systemwiederherstellung hilft Dir da gar nichts. Natürlich entfernt sie auch nicht den Trojaner.

    Mache das, was oben genannt ist. Malwarebytes benutzen. Wenn das nichts bringen sollte und Du absolut nicht formatieren willst, versuche mal noch Combofix. Die Benutzung ist aber nicht ohne, also Anleitung vorher genau durchlesen.

    Arwen
  • Wenn's nichts weiter ist als jeden 2 minuten eine meldung über einen Virus kannst du ihn ja Ignorieren :D

    Wenns ein Program ist kannste es ja im sicheren modus versuchen zu loeschen.

    ich weiss nicht ob das was ausmacht aber scanne deinen PC doch auch noch im sicheren Modus.


    oder die einfache lösung:

    PC neu aufsetzen Daten sichern.
  • Es ist ja nun schon eine Weile her, aber ich habe diesen Virus auch die Tage erhalten. Per Chatprogramm kam ein Virus mit, dass eine Tür für ein paar Kumpels geöffnet hat, darunter war auch dieser Kandidat. Avira konnte dort nichts machen, nach dem Löschen war dieser bei einem erneuten Scan wieder da gewesen.

    Darauf hin habe ich den Rechner bei Kaspersky einen Onlinescan unterzogen und der zeigt die Probleme an. Dann habe ich die 30 Tage Test Version installiert und der hat nach dem Scannen die Sache behoben.
  • warum könnt ihr nicht erst mal die hilfen im sticky lesen ? :depp:

    freesoft-board.to/f389/info-vi…und-entfernen-173018.html

    dort steht eigentlich alles wesentliche drinne :D

    und nun zum diesen hier


    HTML-Code:

    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O17 - HKLM\System\CCS\Services\Tcpip\..\{C81938B7-9ED4-46BD-93F2-3C1FD7907CD3}: NameServer = 85.255.114.26 85.255.112.79
    O17 - HKLM\System\CCS\Services\Tcpip\..\{FF02E2FD-FAC4-4E4C-B31D-B12EF6CB95B8}: NameServer = 85.255.114.26 85.255.112.79
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.26 85.255.112.79
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.26 85.255.112.79


    die IP nummern weisen zu einem server im ausland hin,du bist ein teil eines Botnetzes :eek:

    es gibt 2 möglichkeiten.

    1. pc säubern komplett ( cookies / Temp / passwörter neu etc.)
    schaue in das TUT

    2. pc neu installieren und alle passwörter ersetzen
    firewall und vierenschutz erhöhen.( ist die sicherste Methode ! )

    so hoffe du kommst mit den infos weiter,auch wenn diese nicht sehr erfreulich sind.

    gruß snoppy:drum: