TR/CryptXPack.Gen von Antivir gefunden

#1 Hallo!
Bei meinem aktuellen Virenscan wurde der Virus TR/CryptXPack.Gen angezeigt.
Ich habe per google keine weiteren Informationen zu diesem Virus finden können.
Ich hoffe dass sie mir helfen können meinen Rechner wieder Virenfrei zu bekommen.
Mit freundlichem Gruß
D.H.

Hier schon mal der HiJack This Scan

Logfile of HijackThis v1.99.1
Scan saved at 13:44:43, on 27.01.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\DeltTray.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\StopHid.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\han\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F1 - win.ini: run= C:\WESTWOOD\ALARM\INSTICON.EXE
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AceGain LiveUpdate] C:\Programme\AceGain\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [XpDis0Conf] C:\PROGRA~1\Belkin\BELKIN~1\Tool\WinXPDisableZeroConfigation.exe VEN_14E4&DEV_4320&SUBSYS_70011799 /d
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [AVAUTODELETE] "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition classic\UPGRADE\upgrade.exe" /restart
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [StopHid] StopHid.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

#2 Wo genau, bei welcher Datei in welchem Ordner wird diese Meldung ausgegeben?

BTW: Dein System ist total ungepatched. Das solltest du aendern!
__________
MfG Ralf
SEO-Spam Hunter

#3 Die Meldung wurde bei Durchsuchen des folgenden Ordners angezeigt.
C:\Programme\div installer\AmericasArmy240_GameDaily.exe
[0] Archive type: ZIP SFX (self extracting)
--> PBAGDL~1.cab
[1] Archive type: CAB (Microsoft)
--> pbag.dll
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
--> PBAGSD~1.cab
[1] Archive type: CAB (Microsoft)
--> pbags.dll
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[WARNING] An error has occurred and the file was not deleted. ErrorID: 16001
[WARNING] Failed!

Gerade kam unabhängig vom Antivir Scan eine weitere Virusmeldung nämlich:
HEUR/Crypted in dem Ordner System Volume Information.

Und wie patche ich mein System richtig?

#4 Eigentlich sollte antivir diese Dateien nicht mehr melden, bzw wird die Meldung der Dateien herausgenommen. Um die Crypted Meldung loszuwerden musst du die Systemwiederherstellung deaktivieren und wieder aktivieren:
http://www.bsi.bund.de/av/texte/wiederher.htm

Um dein System auf den neusten Stand zu bringen, musst du www.windowsupdate.com besuchen...
__________
MfG Ralf
SEO-Spam Hunter

#5 Hi!
Erstmal danke für die schnellen Antworten.
Heisst das denn jetzt dass der Virus (Trojan horse TR/Crypt.XPACK.Gen) nach einem Windows Update nicht mehr da ist?
Oder gibt es weitere Möglichkeiten denVirus vom Rechner zu entfernen?

#6 Nein, durch ein Windowsupdate gehen die Viren nicht weg, aber es kommen nicht so schnell welche dazu!

Die Dateien, die Antivir bei dir gemeldet hat sind harmlos und sollten inzwischen nicht mehr gemeldet werden
__________
MfG Ralf
SEO-Spam Hunter

#7 Auch bei mir hat Avira in der Nacht von Freitag auf Samstag den Fund von TR/Crypt.XPACK.Gen gemeldet. Es könnte sich allerdings um einen Fehlalarm handeln, da mir der Softwarehersteller mittlerweile gemailt hat, daß diese Datei zum Programmpaket dazugehört. Die betroffenen Dateien habe ich an Avira geschickt (11.02.2007 16:32), aber noch nichts gehört.

In Sachen Viren und Trojaner bin ich absoluter Laie und weiß nicht mehr weiter.

Es begann mit:
Guard: 10.2.2007: 00.51 h
In der Datei 'C:\Programme\Z-Cron\z-wecker.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [TR/Crypt.XPACK.Gen] gefunden.
Die Datei wurde in Quarantäne verschoben.
Im Guardlogfile stand folgendes:

09.02.2007,11:58:04 Lizenzdatei enthält eine gültige Lizenz. Der
Avira AntiVir PersonalEdition Classic Dienst läuft als
uneingeschränkte Vollversion!
09.02.2007,11:58:04 AntiVirService Version: 7.00.00.45 AVE
Version 7.3.1.36 VDF Version: 6.37.1.63
09.02.2007,11:58:05 Start Filter Device.
09.02.2007,11:58:05 Der Avira AntiVir PersonalEdition Classic
Dienst wurde erfolgreich gestartet!
09.02.2007,11:58:05 [CONFIG] Verwendete Konfiguration der
Echtzeitsuche:
- Geprüfte Dateien: Dateien von lokalen Laufwerken prüfen
- Gerätemodus: Datei beim Öffnen durchsuchen, Datei nach
Schließen durchsuchen
- Alle Dateien prüfen
- Laufzeitgepackte Dateien entpacken
- Aktion: Benutzer fragen
- Makrovirenheuristik: MACRO , WIN32 MITTEL
- Protokollierungsstufe: 1
09.02.2007,11:58:34 Start Filter Device.
10.02.2007,00:51:01 [WARNUNG] Ist das Trojanische Pferd
TR/Crypt.XPACK.Gen!
C:\Programme\Z-Cron\z-wecker.exe
[INFO] Die Datei wird in das Quarantäneverzeichnis
verschoben!
10.02.2007,03:40:45 Der Avira AntiVir PersonalEdition Classic
Dienst wurde beendet!

Kann ich jetzt noch aktiv was tun, oder muß ich abwarten bis Avira sich meldet.

Herzlichen Dank

#8 Schicke die Datei bitte an heuristik2@antivir.de
__________
MfG Ralf
SEO-Spam Hunter

#9 Danke für die Info,
das habe ich bereits versucht, habe allerdings eine andere Mailadresse verwendet.

Leiten die Avira Leute das intern weiter oder soll ich nochmal schicken?

herzliche Grüße

UN

#10 Schick das mal direkt dahin, denn die Version, die man bei http://www.z-softarchiv.de/freeware/download.htm bekommt, meldet hier nichts.
Nur das die das beseitigen koennen, bevor die eine neue Version herausbringen...
__________
MfG Ralf
SEO-Spam Hunter

#11 Danke Ralf für deine Hilfe, der Tipp mit der anderen Mailadresse hat's gebracht, meine anderen Mails an Avira liefen ins Leere.

Mittlerweile bin ich schlauer und habe Nachricht von dem Heuristiklabor von Avira:

Es handelt sich tatsächlich um einen Fehlalarm:

Hier die Antwort:

Zitat

Der XPACK.Gen-Fehlalarm in z-wecker.exe wird durch den Einsatz des
Laufzeitpackers PShrink verursacht. Das ist ein Tool was ein Virenprogrammierer
("Virogen") geschrieben hat. Warum Z-Soft legale Shareware mit sowas
verschlüsseln muss ist mir leider nicht ersichtlich. Z-Soft hat allerdings bei
der aktuellen Version von Z-Cron auf PE-Compact2 (kommerzieller Laufzeitpacker)
umgestellt, damit ist der Fehlalarm behoben. Ich habe zudem die
z-wecker.exe-Datei an das Virenlabor weitergeleitet, damit die Erkennung per
VDF-Update ausgenommen werden kann.

Die älteren Versionen von Z-Defrag waren ebenfalls mit PCShrink gepackt - und
sind ebenfalls mittlerweile umgestellt.

mfg, Stefan Kurtzhals

Das bedeutet also: Die alte Version von Z-Cron deinstallieren und die neue herunterladen und die Dateien in der Quarantäne löschen.

Nochmals Danke

Ulrike

#12 Auch bei mir hat AntiVir den TR/CryptXPack.Gen gefunden. Ich habe unzählige Male "löschen" eingegeben, aber das funktionierte nicht. Auch die anderen, von AntiVir angebotenen Optionen funktionierten nicht.

Spybot Search & Destroy hat den TR/CryptXPack.Gen auch gefunden. Spybot hat gemeldet, es habe das Problem behoben, aber der Ordner "nyrghytc" mit der Datei "tazmhotc.exe" ist immer noch da und läßt sich mit keinem vorhandenen Programm löschen.

Das ist mir schon einmal mit einem anderen Trojaner so gegangen. Gibt es Freeware für ein zuverlässiges Löschen von so hartnäckigen Dateien?

Danke für die Hilfe.

#13 Malwarebytes Anti-Malware fuer Windows 2000,XP und Vista
Download MBAM
Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet

Wähle bei Reiter:
“Scanner”> "Quickscan durchfuehren".
“Update “> klicke “Suche nach Aktualisierungen“
“Einstellungen“ hake an “Beende Inter Explorer während des Löschvorgangs“
Scan laufen lassen

Wenn am Ende infizierungen gefunden werden,anhaken und entfernen lassen
Starte dein Rechner neu
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu
Malwarebytes Anti-Malware kann man nachher behalten !

Später kann man noch ein "Vollständiger Suchlauf“durchführen

und ein log von Hijack This
__________
MfG Argus

#14 Hi, danke für den Tipp. Habe alles gemacht. Das ist das Protokoll:

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1325
Windows 5.1.2600 Service Pack 3

27.10.2008 09:37:57
mbam-log-2008-10-27 (09-37-20).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 42761
Laufzeit: 2 minute(s), 57 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\MSFox (Trojan.Agent) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

In dem Ordner "nyrghytc" war die umbenannte Datei "tazmhotc.vir" noch vorhanden. Diese und der Ordner ließen sich nun aber löschen.

Werde nun noch eine vollständigen Scan machen. Hoffe, dass ich mich nicht mehr melden muss. Gut, dass es Euch gibt

#15 Ein Trojaner kommt nie alleine und auch MBAM findet nicht alles,es ist kein Wundermittel

ComboFix(by sUBs)

Download ComboFix und speichert es auf den Desktop!
Download ComboFix1
Download ComboFix2
Note:Wenn wehrend du Combofix runterlaedst oder anwendet ein Meldung deines Virenscanner kommt ode ein anderen Realtime scanner
Schalte diese scanner dann aus und download ComboFix erneut
Es gibt scanner die bestimmte komponente die durch CF benutzt werden als verdaechtig ansehen und versucht sie zu blokkieren oder zu entfernen
Starte combofix.exe
Folge den Instruktionen in das Fenster
Wenn ComboFix schon vorher benutzt worden ist kann es sein das du eine Meldung bekommst das es ein Update gibt
Erlaube diesen Update und klicke OK im "NirCmd“ fenster klicke nach ablauf auf "ja“um den Scan zu starten
Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen"

zusammen mit ein log von HijackThis
__________
MfG Argus