TR/Crypt.XPACK.Gen - wie kann ich ihn löschen?

#1 Guten Tag,
antivir hat auf meinem PC den Trojaner TR/Crypt.XPACK.Gen gefunden.
mit selbigem schlage ich mich jetzt schon mehrere tage rum. hab die datie, die von antivir als verseucht angezeigt wurde immer von antivir löschen lassen, aber das hat anscheinend nichts genutzt. der trojaner wird immer erst dann von antivir angezeigt, wenn ich im internet bin. was kann ich dagegen machen bzw. wie kann ich den trojaner beseitigen?
danke schonmal im vorraus.

#2 Poste bitte einmal diese Informatioenen: http://board.protecus.de/t23188.htm
__________
MfG Ralf
SEO-Spam Hunter

#3 Guten Tag,
hier die logs:

combofix-log:

ComboFix 07-10-07.2 - Herr Scharf 2007-10-07 14:29:21.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.0.1252.1.1031.18.563 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Herr Scharf\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2007-09-07 bis 2007-10-07 ))))))))))))))))))))))))))))))
.

2007-10-07 14:28 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-07 12:45 <DIR> d-------- C:\Dokumente und Einstellungen\Herr Scharf\Anwendungsdaten\T-Online
2007-10-07 12:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online
2007-10-07 12:44 <DIR> d-------- C:\Programme\T-Online
2007-10-07 12:44 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Marmiko Shared
2007-10-07 12:40 55,936 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2007-10-07 12:40 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2007-10-07 12:40 <DIR> d-------- C:\Dokumente und Einstellungen\Herr Scharf\Anwendungsdaten\MailFrontier
2007-10-07 12:39 9,728 --a------ C:\WINDOWS\system32\drivers\gameenum.sys
2007-10-07 12:39 70,144 --a------ C:\WINDOWS\system32\usbui.dll
2007-10-07 12:39 27,165 --a------ C:\WINDOWS\system32\drivers\fetnd5.sys
2007-10-07 12:38 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen
2007-10-07 12:38 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Anwendungsdaten
2007-10-07 12:38 <DIR> dr-h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten
2007-10-07 12:38 <DIR> dr------- C:\Dokumente und Einstellungen\Default User\Startmen�
2007-10-07 12:38 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Startmen�
2007-10-07 12:38 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Dokumente
2007-10-07 12:38 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Vorlagen
2007-10-07 12:38 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Netzwerkumgebung
2007-10-07 12:38 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Druckumgebung
2007-10-07 12:38 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Vorlagen
2007-10-07 12:38 <DIR> d-------- C:\Programme\Gemeinsame Dateien\SpeechEngines
2007-10-07 12:38 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ODBC
2007-10-07 12:38 <DIR> d-------- C:\Dokumente und Einstellungen\Default User\Favoriten
2007-10-07 12:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Favoriten
2007-10-07 12:37 <DIR> d-------- C:\Dokumente und Einstellungen
2007-10-07 12:26 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2007-10-07 12:22 <DIR> d-------- C:\Programme\Winamp
2007-10-07 12:19 <DIR> d-------- C:\Programme\MediaKey
2007-10-07 12:18 <DIR> d-------- C:\WINDOWS\Profiles
2007-10-07 12:18 <DIR> d-------- C:\Dokumente und Einstellungen\Herr Scharf\Anwendungsdaten\InterTrust
2007-10-07 12:17 7,040 -ra------ C:\WINDOWS\system32\ntsim.sys
2007-10-07 12:17 41,984 -ra------ C:\WINDOWS\system32\drivers\fetnd5b.sys
2007-10-07 12:16 <DIR> d--h----- C:\Programme\InstallShield Installation Information
2007-10-07 12:16 <DIR> d-------- C:\Programme\C-Media 3D Audio
2007-10-07 12:14 36,224 --a--c--- C:\WINDOWS\system32\dllcache\isapnp.sys
2007-10-07 12:14 36,224 --a------ C:\WINDOWS\system32\drivers\isapnp.sys
2007-10-07 12:14 306,688 --a------ C:\WINDOWS\IsUninst.exe
2007-10-07 12:13 5,824 --a------ C:\WINDOWS\system32\drivers\ASUSHWIO.SYS
2007-10-07 12:13 <DIR> d-------- C:\Dokumente und Einstellungen\Herr Scharf\WINDOWS
2007-10-07 12:09 <DIR> d-------- C:\Programme\Avira
2007-10-07 12:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-10-07 12:05 21,760 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2007-10-07 12:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-07 12:15 --------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2007-10-07 11:51 --------- d-------- C:\Programme\microsoft frontpage
2007-10-07 11:49 --------- d-------- C:\Programme\Online-Dienste
2007-10-07 11:48 --------- d-------- C:\Programme\Gemeinsame Dateien\MSSoap
2007-10-07 11:48 --------- d-------- C:\Programme\Gemeinsame Dateien\Dienste
2001-11-23 06:08 712704 -ra------ C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-11-17 10:33]
"nwiz"="nwiz.exe" [2003-11-17 10:33 C:\WINDOWS\system32\nwiz.exe]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25]
"Cmaudio"="cmicnfg.cpl" []
"MMKeybd"="C:\PROGRA~1\MediaKey\MMKeybd.EXE" [2003-12-08 15:58]
"Zone Labs Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2006-08-23 23:38]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-18 12:00]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2001-08-02 07:14]
"NvMediaCenter"="C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit" []

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
R3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;\??\C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;\??\C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS
S3 MIINPazX;MIINPazX NDIS Protocol Driver;\??\C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS
S3 NTSIM;NTSIM;\??\C:\WINDOWS\System32\ntsim.sys

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-07 14:31:30
Windows 5.1.2600 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\poof]

.
Zeit der Fertigstellung: 2007-10-07 14:32:21
.
--- E O F ---

Hijackthis - log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:35:25, on 07.10.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\RunDll32.exe
C:\PROGRA~1\MediaKey\MMKeybd.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Herr Scharf\Desktop\HJT\HJT.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [MMKeybd] C:\PROGRA~1\MediaKey\MMKeybd.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 3566 bytes

datfind - log:

Verzeichnis von C:\WINDOWS\system32

07.10.2007 14:21 4.212 zllictbl.dat
07.10.2007 14:20 56.960 vsconfig.xml
07.10.2007 14:03 0 TFTP9724
07.10.2007 14:01 316.594 perfh007.dat
07.10.2007 14:01 39.992 perfc009.dat
07.10.2007 14:01 311.604 perfh009.dat
07.10.2007 14:01 48.156 perfc007.dat
07.10.2007 14:01 723.744 PerfStringBackup.INI
07.10.2007 12:46 56.402 NULL
07.10.2007 12:45 0 h323log.txt
07.10.2007 11:57 25.065 wmpscheme.xml
07.10.2007 11:57 2.184 wpa.dbl
07.10.2007 11:53 90.296 FNTCACHE.DAT
07.10.2007 11:53 261 $winnt$.inf
07.10.2007 11:50 2.951 CONFIG.NT
07.10.2007 11:50 16.832 amcompat.tlb
07.10.2007 11:50 23.392 nscompat.tlb
07.10.2007 11:49 488 logonui.exe.manifest
07.10.2007 11:49 488 WindowsLogon.manifest
07.10.2007 11:49 749 nwc.cpl.manifest
07.10.2007 11:49 749 sapi.cpl.manifest
07.10.2007 11:49 749 cdplayer.exe.manifest
07.10.2007 11:49 749 wuaucpl.cpl.manifest
07.10.2007 11:49 749 ncpa.cpl.manifest
07.10.2007 11:48 21.740 emptyregdb.dat
05.10.2007 10:07 279.552 swreg.exe

Vielen dank schonmal

#4 Dein Problem ist ein vollkommen ungepatchtes System. Ich sehe zwar momentan keine aktive Malware, aber der Fund von Antivir sagt schon, das das nicht so sein/bleiben muss. Du solltest dein System via www.windowsupdate.com aktualisieren.
__________
MfG Ralf
SEO-Spam Hunter

#5 danke, hab die updates gemacht, bekomme aber trotzdem immer wieder virenwarnungnen....

hier nochmal ein neues hijackthislog:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:24:26, on 07.10.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\RunDll32.exe
C:\PROGRA~1\MediaKey\MMKeybd.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Last.fm\LastFMHelper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\Last.fm\LastFM.exe
C:\Programme\iTunes\iTunes.exe
C:\Programme\T-Online\T-Online_Software_6\Browser\browser.exe
C:\WINDOWS\System32\spoolsvc.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [MMKeybd] C:\PROGRA~1\MediaKey\MMKeybd.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spoolsvc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Last.fm Helper.lnk = C:\Programme\Last.fm\LastFMHelper.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1191772889545
O17 - HKLM\System\CCS\Services\Tcpip\..\{D6B8D217-620C-4188-A138-1A3744F79730}: NameServer = 217.237.148.102 217.237.151.115
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4476 bytes