Trojaner TR/Crypt.XPACK.Gen mit Antivir erkannt Was nun?

#1 Hallo Ihr,

brauche bitte,bitte,bitte dringend eure Hilfe:

Hab heute zufällig mit Antivir meinen Computer überprüft und der fand den Trojaner: TR/Crypt.XPACK.Gen ,
hab ihn sofort in Quarantäne gestellt und dann gelöscht,

ist nun alles wieder OK, bitte helft mir, denn ich bin-was solche Sachen angeht-ein gebranntes Kind, denn ich hab aus irgendwelchen Gründen immer mal wieder solche Sachen auf meinem Computer, und bin deshalb ziemlich verängstigt...

PS: kann mir das bitte jemand ganz leicht verständlich erklären, bin totaler Anfänger?


Vielen Dank im Vorraus
(Hoffe, so nen Thread gab es vorher nicht, hab nämlich keinen gefunden...)





Hallo, ich bin's schon wieder, hab jetzt dieses hijack gemacht, mache noch die restlichen sachen aus dem 1. thread der da unten steht, reicht das dann aus???????? Bitte um Hilfe!!!!

:Logfile of HijackThis v1.99.1
Scan saved at 00:09:20, on 17.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Programme\0190 Warner\w0svc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\WINDOWS\system32\uWDF.exe
C:\DOKUME~1\MITTEL~1\LOKALE~1\Temp\Rar$EX01.906\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{72D73EA9-6918-4AC4-83C8-279DA3FBA287}: NameServer = 217.237.149.205 217.237.151.115
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe


Sorry,bevor ich das mit dem CCleaner mache :Ist das denn überhaupt kostenlos???



Ich fänds wirklich tol,wenn ihr mir helfen würdet, hab nämlich richtig schiss, dass jetzt mein computer hin ist oder ich vielleicht irgendwelche kosten zahlen muss oder ich jetzt beobachtet werde,also BITTE BITTE BITTE helft mir!!!



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7436-7B32

Verzeichnis von C:\WINDOWS\system32

16.03.2007 23:59 54.112 vsconfig.xml
16.03.2007 23:57 2.422 wpa.dbl
08.03.2007 15:23 98.304 CmdLineExt.dll
08.03.2007 12:18 2.266 qtplugin.log
07.03.2007 21:36 12.619.736 MRT.exe
17.02.2007 20:16 122.142 TZLog.log
15.02.2007 18:01 337.280 WgaTray.exe
15.02.2007 18:01 1.476.992 LegitCheckControl.dll
15.02.2007 18:00 236.928 SETC.tmp
15.02.2007 18:00 236.928 WgaLogon.dll
29.01.2007 09:58 60.416 tzchange.exe
23.01.2007 20:30 546.304 hhctrl.ocx
12.01.2007 09:27 27.136 jsproxy.dll
12.01.2007 09:27 458.752 msfeeds.dll
12.01.2007 09:27 51.712 msfeedsbs.dll
12.01.2007 09:27 3.580.416 mshtml.dll
12.01.2007 09:27 132.608 extmgr.dll
12.01.2007 09:27 822.784 wininet.dll
12.01.2007 09:27 1.149.952 urlmon.dll
12.01.2007 09:27 477.696 mshtmled.dll
12.01.2007 09:27 232.960 webcheck.dll
12.01.2007 09:27 670.720 mstime.dll
12.01.2007 09:27 6.054.400 ieframe.dll
10.01.2007 17:42 1.040.384 ieframe.dll.mui
08.01.2007 19:04 105.984 url.dll
08.01.2007 19:04 102.400 occache.dll
08.01.2007 19:02 1.823.744 inetcpl.cpl
08.01.2007 19:02 44.544 iernonce.dll
08.01.2007 19:02 266.752 iertutil.dll
08.01.2007 19:02 153.088 ieakeng.dll
08.01.2007 19:02 383.488 ieapfltr.dll
08.01.2007 19:02 230.400 ieaksie.dll
08.01.2007 19:02 161.792 ieakui.dll
08.01.2007 19:02 384.000 iedkcs32.dll
08.01.2007 19:01 17.408 corpol.dll
08.01.2007 19:00 124.928 advpack.dll
08.01.2007 18:08 56.832 ie4uinit.exe
08.01.2007 18:08 13.824 ieudinit.exe




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7436-7B32

Verzeichnis von C:\DOKUME~1\MITTEL~1\LOKALE~1\Temp

16.03.2007 23:58 16.384 Perflib_Perfdata_ac4.dat
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 37.565.992.960 Bytes frei





Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7436-7B32

Verzeichnis von C:\WINDOWS

17.03.2007 00:49 12.814 ModemLog_Creatix V.9X DSP Data Fax Modem.txt
16.03.2007 23:58 732 win.ini
16.03.2007 23:57 1.871.907 WindowsUpdate.log
16.03.2007 23:57 159 wiadebug.log
16.03.2007 23:57 50 wiaservc.log
16.03.2007 23:56 2.048 bootstat.dat
16.03.2007 23:16 32.556 SchedLgU.Txt
16.03.2007 21:26 412 lexstat.ini
16.03.2007 15:33 292 system.ini
16.03.2007 15:08 98.304 DUMP3652.tmp
16.03.2007 15:06 98.304 DUMP3671.tmp
16.03.2007 15:05 98.304 DUMP3635.tmp
16.03.2007 15:02 98.304 DUMP3681.tmp
16.03.2007 14:59 98.304 DUMP3634.tmp
08.03.2007 17:30 0 vpd.properties
08.03.2007 12:24 242 QTW.INI
08.03.2007 12:23 30 RESULT.QTW
08.03.2007 12:22 291 SYSINI.QTW
08.03.2007 12:22 732 WININI.QTW
05.02.2007 16:19 98.304 DUMP3077.tmp
05.02.2007 16:18 98.304 DUMP3076.tmp
05.02.2007 16:17 98.304 DUMP30d4.tmp
05.02.2007 16:15 98.304 DUMP3335.tmp
31.12.2006 19:35 526 eReg.dat





Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7436-7B32

Verzeichnis von C:\WINDOWS\Temp

16.03.2007 23:58 256 ZLT04654.TMP
16.03.2007 23:58 256 ZLT04647.TMP
2 Datei(en) 512 Bytes
0 Verzeichnis(se), 37.562.515.456 Bytes frei





Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7436-7B32

Verzeichnis von C:\WINDOWS\Downloaded Program Files

07.06.2006 10:09 1.249 erma.inf
18.12.2005 15:12 65 desktop.ini
03.11.2005 20:24 495 LegitCheckControl.inf
29.06.2005 17:17 227 opuc.inf
26.05.2005 04:19 293 muweb.inf
25.07.2002 17:13 24.576 dwusplay.dll
25.07.2002 17:13 196.608 dwusplay.exe
25.07.2002 17:05 172.032 isusweb.dll
8 Datei(en) 395.545 Bytes
0 Verzeichnis(se), 37.562.515.456 Bytes frei





Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7436-7B32

Verzeichnis von C:\

17.03.2007 00:53 0 sys.txt
17.03.2007 00:53 643 down.txt
17.03.2007 00:52 327 tmp.txt
17.03.2007 00:51 8.107 system.txt
17.03.2007 00:50 308 systemtemp.txt
17.03.2007 00:50 98.020 system32.txt
16.03.2007 23:56 536.399.872 hiberfil.sys
16.03.2007 23:56 805.306.368 pagefile.sys
21.01.2006 21:25 211 boot.ini

#2 Es waere Hilfreich, wenn du uns sagen koenntest, wo(Ordner und Dateiname) Antivir diese Malware gefunden hat
__________
MfG Ralf
SEO-Spam Hunter

#3 Danke für die Antwort; also das stand im Antivir-Bericht:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Mittelerde\Anwendungsdaten\Adobe\Acrobat\7.0\Updater\AdbeRdr709_de_DE.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '465d0373.qua' verschoben!


Hab den Verdacht, dass es vielleicht ungefährlich ist, weil es was mit Adobe bzw. Acrobat zu tun hat ?????




Hallo, hab Post von Antivir bekommen, die meinten, dass das ne Fehlmeldung gewesen wäre und dass,:
"Die Meldung tritt nur dann auf, wenn die Acrobat Reader-Installationsdatei
unvollständig vorhanden ist"

Hoffentlich stimmt das, wäre voll nett, wenn das noch mal jemand bestätigen könnte...


PS: Bin auch dankbar für Tipps,meinen PC noch sicherer zu machen!

#4 Ja, du hast recht, das ist ein Fehlalarm!
__________
MfG Ralf
SEO-Spam Hunter

#5 Vielen Dank noch mal an das Forum,

großes Lob wegen der schnellen und -soweit ich das beurteilen kann- kompetenten Hilfe,

super forum,
toll, dass es so hilfsbereite menschen gibt...