Av Meldung: Tr/crypt.xpack.gen

#0
26.02.2009, 21:47
...neu hier

Beiträge: 1
#1 Hallo Leute.

Habe beim Antivirscan folgende Meldung erhalten:
TR/Crypt.XPACK.Gen

HJT zeigt nichts. Malewarebyte auch nichts, Combofix hatte ein TempFile gelöscht und zwei Regeinträge gesperrt.

Die ganzen Logs habe ich in den Anhang gepackt.

Welche Aktion soll ich nun noch machen?

Gruß,
mario

Anhang: Logs.zip
Seitenanfang Seitenende
26.02.2009, 23:32
Member

Beiträge: 131
#2 würd mich auch mal interessieren, was das für ein viech ist. ich habe ebend grade nach nem totalcrash den rechner neu gemacht und mir farcry (von original ubisoft dvd) installiert, und Antivir hat den virus TR/crypt.xpack.Gen in dem verzeichnis \support\register\dll\xmlinst.exe gefunden. noch während der installation natürlich.

vor meinem crash hab ich spassenshalben mal versucht, den mejrspielermodus von farcry zu nutzen und das prog nach nem server suchen lassen. naja, danach war die kiste dann ja im arsch (wollte nicht mehr hochfahren).

und jetzt das.

hab ich den virus jetzt echt mitgeliefert bekommen?!
Seitenanfang Seitenende
27.02.2009, 00:08
Member

Beiträge: 38
#3 Wollte auch gerade ein Thema eröffnen.
AntiVir hat den Virus bei mir auch gefunden:
"In der Datei 'E:\KONAMI\Pro Evolution Soccer 2009\pes2009.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben"

F-Secure findet dort nichts...

Virus oder nicht, das ist hier die Frage? ;)

Ach so: Die Meldung kam erst NACH einem Update von AntiVir!
Dieser Beitrag wurde am 27.02.2009 um 00:19 Uhr von Tobi-A editiert.
Seitenanfang Seitenende
27.02.2009, 02:58
Moderator

Beiträge: 5694
#4 Überprüft doch mal die Dateien bei www.virustotal.com/de um zu sehen welche Scanner diese Datei ebenfalls als schädlich einstuft.

Gruss Swiss
Seitenanfang Seitenende
27.02.2009, 10:36
Member

Beiträge: 38
#5

Zitat

Tonstudio postete
Überprüft doch mal die Dateien bei www.virustotal.com/de um zu sehen welche Scanner diese Datei ebenfalls als schädlich einstuft.

Gruss Swiss
AntiVir 7.9.0.98 2009.02.27 TR/Crypt.XPACK.Gen
SecureWeb-Gateway 6.0.0 2009.02.27 Trojan.Crypt.XPACK.Gen
Sunbelt 3.2.1858.2 2009.02.26 VIPRE.Suspicious

...sonst bei keinem was gefunden...
Seitenanfang Seitenende
27.02.2009, 12:22
Member

Beiträge: 131
#6 tja, ich hab die dateien leider schon gelöscht.

hab allerdings gestern beim email schreiben eine sicherheitswarnung bekommen. die seite om.expedia.com, mit der mein email programm kontakt aufnehmen wollte, hat ein sicherheitszertifikat geschickt, was eigentlich zu *.112.2o7.net gehört.
und wenn ich mail checken will, werde ich darauf hingewiesen, dass dies wegen eines datenbankproblems nicht möglich wäre.

kann das was mit dem ganzen virenärger zu tun haben?
Seitenanfang Seitenende
27.02.2009, 12:51
Moderator

Beiträge: 5694
#7 @Tobi-A

Dann scanne mit Mlwarebytes (das gefundene nicht löschen lassen)
http://virus-protect.org/artikel/tools/malwarebytes.html

und poste mal ein Hijackthis Log
http://virus-protect.org/hjtkurz.html

Kann gut sein dass dies ein False Positiv ist.

Gruss Swiss
Dieser Beitrag wurde am 27.02.2009 um 12:59 Uhr von Tonstudio editiert.
Seitenanfang Seitenende
27.02.2009, 12:58
Moderator

Beiträge: 5694
#8 @Mccracker

Die Logs sind sauber


>>
Combofix entfernen:
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"
(oder, wenn es nicht funktioniert: C:\QooBox löschen)

>>
Start - Ausführen - regedit

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"UpdatesDisableNotify"=dword:00000001 - in 0 ändern

rechtsklick auf den Eintrag auf UpdatesDisableNotify
die 1 wegklicken und 0 reinschreiben, dann abspeichern

>>
Schau mal im Quarantäne Ornder von Avira welche Datei es war.

Gruss Swiss
Seitenanfang Seitenende
27.02.2009, 13:02
Moderator

Beiträge: 5694
#9 @Konfusius

Ich kann mir nicht vorstellen wieso auf einer ORIGINAL DVD ein Virus sein soll.. Dies war sicherlich eine Fals Positiv.

>>
Stelle Dein Avira Antivir so ein wie hier beschrieben. UPDATE dein Antivir und scanne. Poste das Log.
(Nach dem scanen, Einstellungen wieder zurücksetzen)
http://board.protecus.de/t23979.htm

>>
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint


Zitat

cd\
dir "C:\Windows\System32\Com" >>files.txt
dir "C:\Windows\system32\config" >>files.txt
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Eigene Dateien" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:Windows\tasks" >>files.txt
notepad files.txt
Gruss Swiss
Seitenanfang Seitenende
27.02.2009, 13:17
...neu hier
Avatar Hunepa

Beiträge: 4
#10 Es scheint, dass da wohl ein False Positive vorliegt. Mehrere Berichte bzgl. dieser Malware lassen sich finden in den letzten Tagen und es scheint so, als wäre seites Avira bestätigt worden, dass ein FP vorliegt:
http://forum.avira.com/wbb/index.php?page=Thread&postID=741411&s=927312a97ab1ee6a3fe11c6e180899ed465c7c4f#post741411

Ich gehe davon aus, dass in Definitionen einfach ein Schnitzer drin war - Kommt vor.
__________
Not speaking on behalf of F-Secure. All posts are private opinions only.
Seitenanfang Seitenende
27.02.2009, 22:44
Member

Beiträge: 38
#11 Malwarebytes findet nichts.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:39:08, on 27.02.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
D:\Programme\ICQLite\ICQLite.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
D:\downloads\virus\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [C6501Sound] RunDll32 C6501.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Recordpad] "C:\Program Files\NCH Swift Sound\Recordpad\recordpad.exe" -logon
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] "D:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [TomTomHOME.exe] "D:\Programme\TomTom HOME 2\HOMERunner.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Sothink SWF Catcher - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Fiddler2 - {CF819DA3-9882-4944-ADF5-6EF17ECF3C6E} - "D:\downloads\audiosurf\F_reuch\Anleitung für Eingriff\Fiddler2\Fiddler.exe" (file missing)
O9 - Extra 'Tools' menuitem: Fiddler2 - {CF819DA3-9882-4944-ADF5-6EF17ECF3C6E} - "D:\downloads\audiosurf\F_reuch\Anleitung für Eingriff\Fiddler2\Fiddler.exe" (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - D:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - D:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O13 - Gopher Prefix:
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5A881522-160A-414F-A640-D61FFA4930F0}: NameServer = 217.237.148.70 217.237.150.115
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: NBService - Nero AG - D:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: VideoAcceleratorService - Speedbit Ltd. - D:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exe

--
End of file - 7631 bytes
Seitenanfang Seitenende
01.03.2009, 19:15
Moderator

Beiträge: 5694
#12 Tobi-A
Ich sehe nichts verdächtiges.
Kommt die Melfung nach den neusten Updates immernoch?

Gruss Swiss
Seitenanfang Seitenende
01.03.2009, 20:23
Member

Beiträge: 38
#13

Zitat

Tonstudio postete
Tobi-A
Ich sehe nichts verdächtiges.
Kommt die Melfung nach den neusten Updates immernoch?

Gruss Swiss
Leider ja, allerdings immer nur bei den Exe Datei von Pro Evolution Soccer. Hoffe/Denke aber das dies von Avira bald behoben wird!?
Seitenanfang Seitenende
01.03.2009, 20:28
Member

Beiträge: 3716
#14 besuche:
http://analysis.avira.com/samples/index.php
stelle verdacht auf fehlalarm ein, wenn die dateien noch im originalverzeichniss sind, gehe auf durchsuchen navigiere dort hin und lad sie nacheinander hoch.
wenn sie in der quarantäne sind, kannst du sie wieder in den normalen ordner machen (antivir öffnen quarantäne widerherstellen in ordner auswählen) dann die dateien einzeln abschicken. falls antivir meckert, schalte den guard ab, poste die antwort von avira, aber ich denke update wird erst morgen erfolgen am wochenende werden nur ganz wichtige updates gemacht...
Seitenanfang Seitenende
01.03.2009, 20:32
Member

Beiträge: 38
#15

Zitat

virenfinder postete
besuche:
http://analysis.avira.com/samples/index.php
stelle verdacht auf fehlalarm ein, wenn die dateien noch im originalverzeichniss sind, gehe auf durchsuchen navigiere dort hin und lad sie nacheinander hoch.
wenn sie in der quarantäne sind, kannst du sie wieder in den normalen ordner machen (antivir öffnen quarantäne widerherstellen in ordner auswählen) dann die dateien einzeln abschicken. falls antivir meckert, schalte den guard ab, poste die antwort von avira, aber ich denke update wird erst morgen erfolgen am wochenende werden nur ganz wichtige updates gemacht...
Wollte ich schon machen, allerdings ist die Exe Datei zu groß ;)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: