TR/CryptXPack.Gen von Antivir gefunden |
||
---|---|---|
#0
| ||
27.01.2007, 13:47
Member
Beiträge: 20 |
||
|
||
27.01.2007, 14:32
Moderator
Beiträge: 7805 |
#2
Wo genau, bei welcher Datei in welchem Ordner wird diese Meldung ausgegeben?
BTW: Dein System ist total ungepatched. Das solltest du aendern! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
27.01.2007, 15:18
Member
Themenstarter Beiträge: 20 |
#3
Die Meldung wurde bei Durchsuchen des folgenden Ordners angezeigt.
C:\Programme\div installer\AmericasArmy240_GameDaily.exe [0] Archive type: ZIP SFX (self extracting) --> PBAGDL~1.cab [1] Archive type: CAB (Microsoft) --> pbag.dll [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen --> PBAGSD~1.cab [1] Archive type: CAB (Microsoft) --> pbags.dll [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen [WARNING] An error has occurred and the file was not deleted. ErrorID: 16001 [WARNING] Failed! Gerade kam unabhängig vom Antivir Scan eine weitere Virusmeldung nämlich: HEUR/Crypted in dem Ordner System Volume Information. Und wie patche ich mein System richtig? |
|
|
||
27.01.2007, 20:24
Moderator
Beiträge: 7805 |
#4
Eigentlich sollte antivir diese Dateien nicht mehr melden, bzw wird die Meldung der Dateien herausgenommen. Um die Crypted Meldung loszuwerden musst du die Systemwiederherstellung deaktivieren und wieder aktivieren:
http://www.bsi.bund.de/av/texte/wiederher.htm Um dein System auf den neusten Stand zu bringen, musst du www.windowsupdate.com besuchen... __________ MfG Ralf SEO-Spam Hunter |
|
|
||
29.01.2007, 17:31
Member
Themenstarter Beiträge: 20 |
#5
Hi!
Erstmal danke für die schnellen Antworten. Heisst das denn jetzt dass der Virus (Trojan horse TR/Crypt.XPACK.Gen) nach einem Windows Update nicht mehr da ist? Oder gibt es weitere Möglichkeiten denVirus vom Rechner zu entfernen? |
|
|
||
29.01.2007, 18:01
Moderator
Beiträge: 7805 |
#6
Nein, durch ein Windowsupdate gehen die Viren nicht weg, aber es kommen nicht so schnell welche dazu!
Die Dateien, die Antivir bei dir gemeldet hat sind harmlos und sollten inzwischen nicht mehr gemeldet werden __________ MfG Ralf SEO-Spam Hunter |
|
|
||
12.02.2007, 16:10
...neu hier
Beiträge: 3 |
#7
Auch bei mir hat Avira in der Nacht von Freitag auf Samstag den Fund von TR/Crypt.XPACK.Gen gemeldet. Es könnte sich allerdings um einen Fehlalarm handeln, da mir der Softwarehersteller mittlerweile gemailt hat, daß diese Datei zum Programmpaket dazugehört. Die betroffenen Dateien habe ich an Avira geschickt (11.02.2007 16:32), aber noch nichts gehört.
In Sachen Viren und Trojaner bin ich absoluter Laie und weiß nicht mehr weiter. Es begann mit: Guard: 10.2.2007: 00.51 h In der Datei 'C:\Programme\Z-Cron\z-wecker.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [TR/Crypt.XPACK.Gen] gefunden. Die Datei wurde in Quarantäne verschoben. Im Guardlogfile stand folgendes: 09.02.2007,11:58:04 Lizenzdatei enthält eine gültige Lizenz. Der Avira AntiVir PersonalEdition Classic Dienst läuft als uneingeschränkte Vollversion! 09.02.2007,11:58:04 AntiVirService Version: 7.00.00.45 AVE Version 7.3.1.36 VDF Version: 6.37.1.63 09.02.2007,11:58:05 Start Filter Device. 09.02.2007,11:58:05 Der Avira AntiVir PersonalEdition Classic Dienst wurde erfolgreich gestartet! 09.02.2007,11:58:05 [CONFIG] Verwendete Konfiguration der Echtzeitsuche: - Geprüfte Dateien: Dateien von lokalen Laufwerken prüfen - Gerätemodus: Datei beim Öffnen durchsuchen, Datei nach Schließen durchsuchen - Alle Dateien prüfen - Laufzeitgepackte Dateien entpacken - Aktion: Benutzer fragen - Makrovirenheuristik: MACRO , WIN32 MITTEL - Protokollierungsstufe: 1 09.02.2007,11:58:34 Start Filter Device. 10.02.2007,00:51:01 [WARNUNG] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen! C:\Programme\Z-Cron\z-wecker.exe [INFO] Die Datei wird in das Quarantäneverzeichnis verschoben! 10.02.2007,03:40:45 Der Avira AntiVir PersonalEdition Classic Dienst wurde beendet! Kann ich jetzt noch aktiv was tun, oder muß ich abwarten bis Avira sich meldet. Herzlichen Dank |
|
|
||
12.02.2007, 16:24
Moderator
Beiträge: 7805 |
||
|
||
12.02.2007, 16:45
...neu hier
Beiträge: 3 |
#9
Danke für die Info,
das habe ich bereits versucht, habe allerdings eine andere Mailadresse verwendet. Leiten die Avira Leute das intern weiter oder soll ich nochmal schicken? herzliche Grüße UN |
|
|
||
12.02.2007, 16:48
Moderator
Beiträge: 7805 |
#10
Schick das mal direkt dahin, denn die Version, die man bei http://www.z-softarchiv.de/freeware/download.htm bekommt, meldet hier nichts.
Nur das die das beseitigen koennen, bevor die eine neue Version herausbringen... __________ MfG Ralf SEO-Spam Hunter |
|
|
||
13.02.2007, 09:54
...neu hier
Beiträge: 3 |
#11
Danke Ralf für deine Hilfe, der Tipp mit der anderen Mailadresse hat's gebracht, meine anderen Mails an Avira liefen ins Leere.
Mittlerweile bin ich schlauer und habe Nachricht von dem Heuristiklabor von Avira: Es handelt sich tatsächlich um einen Fehlalarm: Hier die Antwort: Zitat Der XPACK.Gen-Fehlalarm in z-wecker.exe wird durch den Einsatz desDas bedeutet also: Die alte Version von Z-Cron deinstallieren und die neue herunterladen und die Dateien in der Quarantäne löschen. Nochmals Danke Ulrike |
|
|
||
27.10.2008, 08:40
...neu hier
Beiträge: 2 |
#12
Auch bei mir hat AntiVir den TR/CryptXPack.Gen gefunden. Ich habe unzählige Male "löschen" eingegeben, aber das funktionierte nicht. Auch die anderen, von AntiVir angebotenen Optionen funktionierten nicht.
Spybot Search & Destroy hat den TR/CryptXPack.Gen auch gefunden. Spybot hat gemeldet, es habe das Problem behoben, aber der Ordner "nyrghytc" mit der Datei "tazmhotc.exe" ist immer noch da und läßt sich mit keinem vorhandenen Programm löschen. Das ist mir schon einmal mit einem anderen Trojaner so gegangen. Gibt es Freeware für ein zuverlässiges Löschen von so hartnäckigen Dateien? Danke für die Hilfe. |
|
|
||
27.10.2008, 08:44
Ehrenmitglied
Beiträge: 6028 |
#13
Malwarebytes Anti-Malware fuer Windows 2000,XP und Vista
Download MBAM Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet Wähle bei Reiter: “Scanner”> "Quickscan durchfuehren". “Update “> klicke “Suche nach Aktualisierungen“ “Einstellungen“ hake an “Beende Inter Explorer während des Löschvorgangs“ Scan laufen lassen Wenn am Ende infizierungen gefunden werden,anhaken und entfernen lassen Starte dein Rechner neu Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt) Poste dessen inhalt hier ins Forum Note: Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK Danach wird gefragt den Rechner neu zu starten,lass es zu Malwarebytes Anti-Malware kann man nachher behalten ! Später kann man noch ein "Vollständiger Suchlauf“durchführen und ein log von Hijack This __________ MfG Argus |
|
|
||
27.10.2008, 09:59
...neu hier
Beiträge: 2 |
#14
Hi, danke für den Tipp. Habe alles gemacht. Das ist das Protokoll:
Malwarebytes' Anti-Malware 1.30 Datenbank Version: 1325 Windows 5.1.2600 Service Pack 3 27.10.2008 09:37:57 mbam-log-2008-10-27 (09-37-20).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 42761 Laufzeit: 2 minute(s), 57 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\MSFox (Trojan.Agent) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) In dem Ordner "nyrghytc" war die umbenannte Datei "tazmhotc.vir" noch vorhanden. Diese und der Ordner ließen sich nun aber löschen. Werde nun noch eine vollständigen Scan machen. Hoffe, dass ich mich nicht mehr melden muss. Gut, dass es Euch gibt |
|
|
||
27.10.2008, 10:19
Ehrenmitglied
Beiträge: 6028 |
#15
Ein Trojaner kommt nie alleine und auch MBAM findet nicht alles,es ist kein Wundermittel
ComboFix(by sUBs) Download ComboFix und speichert es auf den Desktop! Download ComboFix1 Download ComboFix2 Note:Wenn wehrend du Combofix runterlaedst oder anwendet ein Meldung deines Virenscanner kommt ode ein anderen Realtime scanner Schalte diese scanner dann aus und download ComboFix erneut Es gibt scanner die bestimmte komponente die durch CF benutzt werden als verdaechtig ansehen und versucht sie zu blokkieren oder zu entfernen Starte combofix.exe Folge den Instruktionen in das Fenster Wenn ComboFix schon vorher benutzt worden ist kann es sein das du eine Meldung bekommst das es ein Update gibt Erlaube diesen Update und klicke OK im "NirCmd“ fenster klicke nach ablauf auf "ja“um den Scan zu starten Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt) nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen" zusammen mit ein log von HijackThis __________ MfG Argus |
|
|
||
Bei meinem aktuellen Virenscan wurde der Virus TR/CryptXPack.Gen angezeigt.
Ich habe per google keine weiteren Informationen zu diesem Virus finden können.
Ich hoffe dass sie mir helfen können meinen Rechner wieder Virenfrei zu bekommen.
Mit freundlichem Gruß
D.H.
Hier schon mal der HiJack This Scan
Logfile of HijackThis v1.99.1
Scan saved at 13:44:43, on 27.01.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\DeltTray.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\StopHid.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\han\Eigene Dateien\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F1 - win.ini: run= C:\WESTWOOD\ALARM\INSTICON.EXE
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AceGain LiveUpdate] C:\Programme\AceGain\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [XpDis0Conf] C:\PROGRA~1\Belkin\BELKIN~1\Tool\WinXPDisableZeroConfigation.exe VEN_14E4&DEV_4320&SUBSYS_70011799 /d
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [AVAUTODELETE] "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition classic\UPGRADE\upgrade.exe" /restart
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [StopHid] StopHid.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe