Av Meldung: Tr/crypt.xpack.gen |
||
---|---|---|
#0
| ||
26.02.2009, 21:47
...neu hier
Beiträge: 1 |
||
|
||
26.02.2009, 23:32
Member
Beiträge: 131 |
#2
würd mich auch mal interessieren, was das für ein viech ist. ich habe ebend grade nach nem totalcrash den rechner neu gemacht und mir farcry (von original ubisoft dvd) installiert, und Antivir hat den virus TR/crypt.xpack.Gen in dem verzeichnis \support\register\dll\xmlinst.exe gefunden. noch während der installation natürlich.
vor meinem crash hab ich spassenshalben mal versucht, den mejrspielermodus von farcry zu nutzen und das prog nach nem server suchen lassen. naja, danach war die kiste dann ja im arsch (wollte nicht mehr hochfahren). und jetzt das. hab ich den virus jetzt echt mitgeliefert bekommen?! |
|
|
||
27.02.2009, 00:08
Member
Beiträge: 38 |
#3
Wollte auch gerade ein Thema eröffnen.
AntiVir hat den Virus bei mir auch gefunden: "In der Datei 'E:\KONAMI\Pro Evolution Soccer 2009\pes2009.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben" F-Secure findet dort nichts... Virus oder nicht, das ist hier die Frage? Ach so: Die Meldung kam erst NACH einem Update von AntiVir! Dieser Beitrag wurde am 27.02.2009 um 00:19 Uhr von Tobi-A editiert.
|
|
|
||
27.02.2009, 02:58
Moderator
Beiträge: 5694 |
#4
Überprüft doch mal die Dateien bei www.virustotal.com/de um zu sehen welche Scanner diese Datei ebenfalls als schädlich einstuft.
Gruss Swiss |
|
|
||
27.02.2009, 10:36
Member
Beiträge: 38 |
#5
Zitat Tonstudio posteteAntiVir 7.9.0.98 2009.02.27 TR/Crypt.XPACK.Gen SecureWeb-Gateway 6.0.0 2009.02.27 Trojan.Crypt.XPACK.Gen Sunbelt 3.2.1858.2 2009.02.26 VIPRE.Suspicious ...sonst bei keinem was gefunden... |
|
|
||
27.02.2009, 12:22
Member
Beiträge: 131 |
#6
tja, ich hab die dateien leider schon gelöscht.
hab allerdings gestern beim email schreiben eine sicherheitswarnung bekommen. die seite om.expedia.com, mit der mein email programm kontakt aufnehmen wollte, hat ein sicherheitszertifikat geschickt, was eigentlich zu *.112.2o7.net gehört. und wenn ich mail checken will, werde ich darauf hingewiesen, dass dies wegen eines datenbankproblems nicht möglich wäre. kann das was mit dem ganzen virenärger zu tun haben? |
|
|
||
27.02.2009, 12:51
Moderator
Beiträge: 5694 |
#7
@Tobi-A
Dann scanne mit Mlwarebytes (das gefundene nicht löschen lassen) http://virus-protect.org/artikel/tools/malwarebytes.html und poste mal ein Hijackthis Log http://virus-protect.org/hjtkurz.html Kann gut sein dass dies ein False Positiv ist. Gruss Swiss Dieser Beitrag wurde am 27.02.2009 um 12:59 Uhr von Tonstudio editiert.
|
|
|
||
27.02.2009, 12:58
Moderator
Beiträge: 5694 |
#8
@Mccracker
Die Logs sind sauber >> Combofix entfernen: Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" (oder, wenn es nicht funktioniert: C:\QooBox löschen) >> Start - Ausführen - regedit [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "UpdatesDisableNotify"=dword:00000001 - in 0 ändern rechtsklick auf den Eintrag auf UpdatesDisableNotify die 1 wegklicken und 0 reinschreiben, dann abspeichern >> Schau mal im Quarantäne Ornder von Avira welche Datei es war. Gruss Swiss |
|
|
||
27.02.2009, 13:02
Moderator
Beiträge: 5694 |
#9
@Konfusius
Ich kann mir nicht vorstellen wieso auf einer ORIGINAL DVD ein Virus sein soll.. Dies war sicherlich eine Fals Positiv. >> Stelle Dein Avira Antivir so ein wie hier beschrieben. UPDATE dein Antivir und scanne. Poste das Log. (Nach dem scanen, Einstellungen wieder zurücksetzen) http://board.protecus.de/t23979.htm >> Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\Gruss Swiss |
|
|
||
27.02.2009, 13:17
...neu hier
Beiträge: 4 |
#10
Es scheint, dass da wohl ein False Positive vorliegt. Mehrere Berichte bzgl. dieser Malware lassen sich finden in den letzten Tagen und es scheint so, als wäre seites Avira bestätigt worden, dass ein FP vorliegt:
http://forum.avira.com/wbb/index.php?page=Thread&postID=741411&s=927312a97ab1ee6a3fe11c6e180899ed465c7c4f#post741411 Ich gehe davon aus, dass in Definitionen einfach ein Schnitzer drin war - Kommt vor. __________ Not speaking on behalf of F-Secure. All posts are private opinions only. |
|
|
||
27.02.2009, 22:44
Member
Beiträge: 38 |
#11
Malwarebytes findet nichts.
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:39:08, on 27.02.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\system32\taskeng.exe C:\Windows\Explorer.EXE C:\Program Files\Windows Defender\MSASCui.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Windows\System32\rundll32.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Windows\System32\rundll32.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Windows\system32\wbem\unsecapp.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Program Files\Mozilla Firefox\firefox.exe D:\Programme\ICQLite\ICQLite.exe C:\Program Files\Windows Live\Messenger\msnmsgr.exe D:\downloads\virus\HiJackThis\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O1 - Hosts: ::1 localhost O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [C6501Sound] RunDll32 C6501.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Recordpad] "C:\Program Files\NCH Swift Sound\Recordpad\recordpad.exe" -logon O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ICQ Lite] "D:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [TomTomHOME.exe] "D:\Programme\TomTom HOME 2\HOMERunner.exe" O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O8 - Extra context menu item: Sothink SWF Catcher - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Fiddler2 - {CF819DA3-9882-4944-ADF5-6EF17ECF3C6E} - "D:\downloads\audiosurf\F_reuch\Anleitung für Eingriff\Fiddler2\Fiddler.exe" (file missing) O9 - Extra 'Tools' menuitem: Fiddler2 - {CF819DA3-9882-4944-ADF5-6EF17ECF3C6E} - "D:\downloads\audiosurf\F_reuch\Anleitung für Eingriff\Fiddler2\Fiddler.exe" (file missing) O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - D:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - D:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O13 - Gopher Prefix: O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{5A881522-160A-414F-A640-D61FFA4930F0}: NameServer = 217.237.148.70 217.237.150.115 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Programme\Nero\Nero 7\InCD\InCDsrv.exe O23 - Service: NBService - Nero AG - D:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe O23 - Service: VideoAcceleratorService - Speedbit Ltd. - D:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exe -- End of file - 7631 bytes |
|
|
||
01.03.2009, 19:15
Moderator
Beiträge: 5694 |
#12
Tobi-A
Ich sehe nichts verdächtiges. Kommt die Melfung nach den neusten Updates immernoch? Gruss Swiss |
|
|
||
01.03.2009, 20:23
Member
Beiträge: 38 |
#13
Zitat Tonstudio posteteLeider ja, allerdings immer nur bei den Exe Datei von Pro Evolution Soccer. Hoffe/Denke aber das dies von Avira bald behoben wird!? |
|
|
||
01.03.2009, 20:28
Member
Beiträge: 3716 |
#14
besuche:
http://analysis.avira.com/samples/index.php stelle verdacht auf fehlalarm ein, wenn die dateien noch im originalverzeichniss sind, gehe auf durchsuchen navigiere dort hin und lad sie nacheinander hoch. wenn sie in der quarantäne sind, kannst du sie wieder in den normalen ordner machen (antivir öffnen quarantäne widerherstellen in ordner auswählen) dann die dateien einzeln abschicken. falls antivir meckert, schalte den guard ab, poste die antwort von avira, aber ich denke update wird erst morgen erfolgen am wochenende werden nur ganz wichtige updates gemacht... |
|
|
||
01.03.2009, 20:32
Member
Beiträge: 38 |
#15
Zitat virenfinder posteteWollte ich schon machen, allerdings ist die Exe Datei zu groß |
|
|
||
Habe beim Antivirscan folgende Meldung erhalten:
TR/Crypt.XPACK.Gen
HJT zeigt nichts. Malewarebyte auch nichts, Combofix hatte ein TempFile gelöscht und zwei Regeinträge gesperrt.
Die ganzen Logs habe ich in den Anhang gepackt.
Welche Aktion soll ich nun noch machen?
Gruß,
mario