Dawnhun1er
New member
Hallo! Ich habe ein Problem mit TR/Crypt:Xpack.gen Und zwar habe ich gerade über Skype von einem Kumpel das Ding als pic getarnt geschickt bekommen, und zwar dauernd. Richtig übel... auf jeden Fall wars so penetrant, dass ichs irgendwann halt doch angenommen habe. So etwas ist mir bisher noch nie passiert. Bin auch eher vorsichtig aber anscheinend war brain 2.0 gerade offline.
Naja auf jeden Fall ist Antivir sofort angesprungen und hat den Zugriff verweigert. Danach ist erst mal Skype abgeschmiert, ich habs jetzt erst mal nicht mehr angemacht, da ich keine PWs preisgeben möchte. Ich habe dann die Datei gelöscht, und lasse gerade antivir drüberlaufen. habe auch nen scan bei totalvirus gemacht, da wurde einiges in der Bilderdatei an malware gefunden. Jetzt die Frage: Wurden die schädlichen Dateien ausgeführt oder hat dies Antivir verhindert? HJT Report bricht im Moment immer ab, kann aber denke ich am AV Scan liegen, werds auf jeden Fall nochmal machen sobald Av fertig ist. An sonsten habe ich mir den CCleaner geholt und werde smitfraudfix im abgesicherten Modus laufen lassen. Gibt es noch Hoffnung, dass ich nicht alles neu aufsetzen muss? Und wenn ich alles neu machen muss, dann alle Partitionen oder reicht es die befallene Partition neu zu machen?
€dit:
Kann es sein, dass HJT Kompatibilitätsprobleme mit Windows 7 hat, es erstellt zwar ein logfile beendet sich dann aber von selbst nach einigen Sekunden. So mal den PC neu gestartet nachdem AV nichts gefunden hat. Dann kam wie bei so vielen anderen auch sofort 3 Virenmeldungen. Ich habe ein Dual Boot system, habe auf die Win Partitionen von Linux zugegriffen und habe die betreffenden Dateien gelöscht. Leider ohne Erfolg, irgendwie scheint AV nicht alle schädlichen Dateien anzuzeigen... Kann ich mir das Dual Boot irgend wie zu Nutze machen? Wie sieht es mit der Datensicherung aus? Hatte zu dem Zeitpunkt leider auch noch meine externe Platte am PC hängen, muss ich jetzt davon ausgehen, dass die auch verseucht ist? Bisher kamen nur Meldungen aus der Systempartition. Wie kann sich eigentlich so ein Trojaner ohne Root Rechte überhaupt im System installieren?
€dit:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:02:28, on 28.12.2009
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal
Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\OEM02Mon.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\sttray.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
D:\Programme\KeePass Password Safe\KeePass.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\ArcSoft\TotalMedia Backup\uBBMonitor.exe
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wmistrk.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O4 - HKLM\..\Run: [OEM02Mon.exe] C:\Windows\OEM02Mon.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\sttray.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Creative SB Monitoring Utility] RunDll32 sbavmon.dll,SBAVMonitor
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe C:\Windows\system32\nvHotkey.dll,Start
O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKCU\..\Run: [KeePass Password Safe] "D:\Programme\KeePass Password Safe\KeePass.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [DAEMON Tools Lite] D:\Programme\DAEMON Tools Lite\daemon.exe -autorun
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Steam] D:\Programme\Valve\Steam\\Steam.exe -silent
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - Startup: wmistrk.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: TotalMedia Backup Monitor.lnk = C:\Program Files\ArcSoft\TotalMedia Backup\uBBMonitor.exe
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{6F026A1A-5750-4E6E-A1EC-B6CC7C7A9E74}: Domain = xxx
O17 - HKLM\System\CCS\Services\Tcpip\..\{6F026A1A-5750-4E6E-A1EC-B6CC7C7A9E74}: NameServer = xxx
O17 - HKLM\System\CS1\Services\Tcpip\..\{6F026A1A-5750-4E6E-A1EC-B6CC7C7A9E74}: Domain = xxx
O17 - HKLM\System\CS1\Services\Tcpip\..\{6F026A1A-5750-4E6E-A1EC-B6CC7C7A9E74}: NameServer = xxx
O17 - HKLM\System\CS2\Services\Tcpip\..\{6F026A1A-5750-4E6E-A1EC-B6CC7C7A9E74}: Domain = xxx
O17 - HKLM\System\CS2\Services\Tcpip\..\{6F026A1A-5750-4E6E-A1EC-B6CC7C7A9E74}: NameServer = xxx
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\system32\aestsrv.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - D:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Program Files\Common Files\Creative Labs Shared\Service\CTAELicensing.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTAudSvc.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
--
End of file - 7188 bytes
Zuletzt bearbeitet: