Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Crypt.ZPACK.Gen2 - in Programme/Skype/Phone/Skype.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 11.10.2011, 09:20   #1
Pixie
 
TR/Crypt.ZPACK.Gen2 - in Programme/Skype/Phone/Skype.exe - Standard

TR/Crypt.ZPACK.Gen2 - in Programme/Skype/Phone/Skype.exe



Hallo zusammen,

ich hoffe, dass ihr mir helfen könnt.

Nachdem ich soeben Skype staren wollte, brachte Antivir die Meldung, dass sich TR/Crypt.ZPACK.Gen2 in der Datei Programme/Skype/Phones/Skype.exe verstecken würde.

Nachdem ich nun einige Problembehandlungen hier und da gelesen habe, bin ich verunsichert, was zu tun ist. Deswegen hab ich erst mal nichts weiter gemacht, außer ein Vollscan mit Antivir zu starten.

Bevor ich etwas falsches mache, wende ich mich lieber gleich an Euch und ich hoffe, dass ihr mir helfen kann.

Dazu meine Frage:
Anscheinend ist das ein Trojaner, der PW ausspioniert und versendet. Stimmt das?
Falls ja, wie bekomm ich den weg?
Kann man eingrenzen/herausfinden, welche Passwörter er wo ausspinoert hat, oder sollte man alle ändern?

Liebe Grüße,
Pixie

Alt 11.10.2011, 16:38   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.ZPACK.Gen2 - in Programme/Skype/Phone/Skype.exe - Standard

TR/Crypt.ZPACK.Gen2 - in Programme/Skype/Phone/Skype.exe



Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

__________________

__________________

Alt 11.10.2011, 17:00   #3
Pixie
 
TR/Crypt.ZPACK.Gen2 - in Programme/Skype/Phone/Skype.exe - Standard

TR/Crypt.ZPACK.Gen2 - in Programme/Skype/Phone/Skype.exe



Ich vermute nun, dass es doch etwas größeres ist.
Was habe ich bisher getan?

Ich hatte ja Antivir drüber laufen lassen. Da kam die Meldung, über SPR/Tool.Srvman.B und SPR/Destart.A
Sodann hab ich Antivir runter geschmissen und ein anderes Antivirus-Programm draufgespielt und prüfen lassen --> Avast! Dieses erkannte nix, außer, bei G:/Programme/Sony/SoniceStage/Images/picture/026a.jpg der Fehler: Datenfehler (CRC-Prüfung) 23.
Eine infizierte Datei (die, die auch Antivir schon beanstandet hat) nämlich service.exe, die zuvor in c:/windows/System32 war, wurde in den "Virus Container" verschoben.

Beim Versuch, Malewarebytes als Vollscan drüber laufen lassen, hat sich das Programm nach ungefähr 5 Minuten von selbst geschlossen, ohne eine Logfile zu speichern. Vermutlich nach dem verschieben der service.exe in den Container ging nun zumindest der Quickscan. (Ich weiß nicht mehr ganz genau, ob das nachdem ging, nachdem Avast drüber gelaufen ist.)

Der Vollscan läuft gerade - den poste ich dann gleich hier.

Aber hier mal das Ergebnis des Quickscans:

Malwarebytes' Anti-Malware 1.51.2.1300
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 7921

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

11.10.2011 17:42:08
mbam-log-2011-10-11 (17-42-04).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 163879
Laufzeit: 16 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C} (Adware.Minibug) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{3C2D2A1E-031F-4397-9614-87C932A848E0} (Adware.Minibug) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{04A38F6B-006F-4247-BA4C-02A139D5531C} (Adware.Minibug) -> No action taken.
HKEY_CLASSES_ROOT\MiniBugTransporter.MiniBugTransporterX.1 (Adware.Minibug) -> No action taken.
HKEY_CLASSES_ROOT\MiniBugTransporter.MiniBugTransporterX (Adware.Minibug) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.TryMedia) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
__________________

Alt 11.10.2011, 17:03   #4
Pixie
 
TR/Crypt.ZPACK.Gen2 - in Programme/Skype/Phone/Skype.exe - Standard

TR/Crypt.ZPACK.Gen2 - in Programme/Skype/Phone/Skype.exe



P.S. Danke Arne, für deine Anweisungen und dass du dich meines Problemes angenommen hast.

Alt 11.10.2011, 17:06   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.ZPACK.Gen2 - in Programme/Skype/Phone/Skype.exe - Standard

TR/Crypt.ZPACK.Gen2 - in Programme/Skype/Phone/Skype.exe



Zitat:
-> No action taken.
Die Funde müssen mit Malwarebytes entfernt waren! Bitte nachholen falls noch nicht getan!

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 11.10.2011, 19:18   #6
Pixie
 
TR/Crypt.ZPACK.Gen2 - in Programme/Skype/Phone/Skype.exe - Standard

TR/Crypt.ZPACK.Gen2 - in Programme/Skype/Phone/Skype.exe



So, jetzt hab ich Malewarebytes vollständig durchlaufen lassen. Hier die Log:

Malwarebytes' Anti-Malware 1.51.2.1300
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 7921

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

11.10.2011 20:16:29
mbam-log-2011-10-11 (20-16-29).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|G:\|)
Durchsuchte Objekte: 294010
Laufzeit: 2 Stunde(n), 24 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C} (Adware.Minibug) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{3C2D2A1E-031F-4397-9614-87C932A848E0} (Adware.Minibug) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{04A38F6B-006F-4247-BA4C-02A139D5531C} (Adware.Minibug) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\MiniBugTransporter.MiniBugTransporterX.1 (Adware.Minibug) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\MiniBugTransporter.MiniBugTransporterX (Adware.Minibug) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.TryMedia) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Alt 11.10.2011, 20:40   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.ZPACK.Gen2 - in Programme/Skype/Phone/Skype.exe - Standard

TR/Crypt.ZPACK.Gen2 - in Programme/Skype/Phone/Skype.exe



ESET kommt auch noch?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 11.10.2011, 20:42   #8
Pixie
 
TR/Crypt.ZPACK.Gen2 - in Programme/Skype/Phone/Skype.exe - Standard

TR/Crypt.ZPACK.Gen2 - in Programme/Skype/Phone/Skype.exe



Ja, ja... es läuft.


Alt 11.10.2011, 22:11   #9
Pixie
 
TR/Crypt.ZPACK.Gen2 - in Programme/Skype/Phone/Skype.exe - Standard

TR/Crypt.ZPACK.Gen2 - in Programme/Skype/Phone/Skype.exe



So... nun hier der Ertrag...

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=2bf9b6301b2fc34583e7f1d8724ec518
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-10-11 09:05:44
# local_time=2011-10-11 11:05:44 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=8192 67108863 100 0 263 263 0 0
# scanned=141590
# found=15
# cleaned=0
# scan_time=5347
C:\Programme\Gemeinsame Dateien\Real\Toolbar\RealBar.dll probably a variant of Win32/Adware.Toolbar.Visicom.AB application (unable to clean) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{CC11E2FD-0A11-4C40-BC97-3C1FD7F54DAD}\RP983\A0227972.EXE probably a variant of Win32/Agent.OCMJPE trojan (unable to clean) 00000000000000000000000000000000 I
G:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\fa8f07a-1fe03039 probably a variant of Win32/Agent.DYXWUMY trojan (unable to clean) 00000000000000000000000000000000 I
G:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\fa8f07a-215d1b01 probably a variant of Win32/Agent.DYXWUMY trojan (unable to clean) 00000000000000000000000000000000 I
G:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\fa8f07a-28c66f9b probably a variant of Win32/Agent.DYXWUMY trojan (unable to clean) 00000000000000000000000000000000 I
G:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\fa8f07a-350e8baf probably a variant of Win32/Agent.DYXWUMY trojan (unable to clean) 00000000000000000000000000000000 I
G:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\fa8f07a-372a9ecb probably a variant of Win32/Agent.DYXWUMY trojan (unable to clean) 00000000000000000000000000000000 I
G:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\fa8f07a-426e123c probably a variant of Win32/Agent.DYXWUMY trojan (unable to clean) 00000000000000000000000000000000 I
G:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\fa8f07a-451ce94b probably a variant of Win32/Agent.DYXWUMY trojan (unable to clean) 00000000000000000000000000000000 I
G:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\fa8f07a-58b0beb3 probably a variant of Win32/Agent.DYXWUMY trojan (unable to clean) 00000000000000000000000000000000 I
G:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\fa8f07a-729e4821 probably a variant of Win32/Agent.DYXWUMY trojan (unable to clean) 00000000000000000000000000000000 I
G:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\fa8f07a-7a331829 probably a variant of Win32/Agent.DYXWUMY trojan (unable to clean) 00000000000000000000000000000000 I
G:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\fa8f07a-7a438070 probably a variant of Win32/Agent.DYXWUMY trojan (unable to clean) 00000000000000000000000000000000 I
G:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\fa8f07a-7aff9a73 probably a variant of Win32/Agent.DYXWUMY trojan (unable to clean) 00000000000000000000000000000000 I
G:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\jvmaudio.jar-2e7e2cd5-52254257.zip probably a variant of Win32/Agent.DYXWUMY trojan (unable to clean) 00000000000000000000000000000000 I



Alt 12.10.2011, 16:19   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.ZPACK.Gen2 - in Programme/Skype/Phone/Skype.exe - Standard

TR/Crypt.ZPACK.Gen2 - in Programme/Skype/Phone/Skype.exe



CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet
Code:
ATTFilter
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu TR/Crypt.ZPACK.Gen2 - in Programme/Skype/Phone/Skype.exe
antivir, ausspioniert, datei, falsches, frage, hallo zusammen, hoffe, lieber, meldung, nichts, passwörter, schei, sichert, skype, starte, tr/crypt.zpack.gen, tr/crypt.zpack.gen2, troja, trojaner, verstecken, zusammen, ändern




Ähnliche Themen: TR/Crypt.ZPACK.Gen2 - in Programme/Skype/Phone/Skype.exe


  1. Windows 7 - Skype Update - Umleitung auf skype.gmw.cn
    Alles rund um Windows - 12.08.2014 (9)
  2. Skype Zertifikat Problem a248.e.akamai.net wegen Werbung in Skype?
    Plagegeister aller Art und deren Bekämpfung - 05.03.2014 (3)
  3. Skype.exe wird ausgeführt obwohl Skype gar nicht installiert ist
    Plagegeister aller Art und deren Bekämpfung - 28.01.2014 (4)
  4. Trojaner "TR/Crypt.ZPACK.Gen8" in C:\Users\johanna\AppData\Roaming\skype.dat via Avira gefunden
    Plagegeister aller Art und deren Bekämpfung - 20.09.2013 (7)
  5. Avira Meldet "C:\WINDOWS\system32\Skype.scr\Skype.exe" und kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 14.05.2013 (11)
  6. Probleme mit Skype, Dev-C ++ und Internet, z.B. friert der Bildschirm während der Benutzung von Skype ein
    Plagegeister aller Art und deren Bekämpfung - 21.03.2013 (17)
  7. TR/Crypt.ZPACK.Gen2 Virus in Program Files (x86)/Skype/Phone/Skype.exe
    Plagegeister aller Art und deren Bekämpfung - 10.03.2013 (1)
  8. TR/Crypt.ZPACK.Gen 2 in C:\Programm Files (x86)\Skype\Phone\Skype.exe
    Log-Analyse und Auswertung - 27.02.2013 (15)
  9. TR/Crypt.ZPACK.Gen2 in Skype.exe
    Plagegeister aller Art und deren Bekämpfung - 05.02.2013 (17)
  10. Avira meldet: 'TR/Crypt.ZPACK.Gen2' [trojan] in der Datei 'C:\Program Files\Skype\Phone\Skype.exe'
    Plagegeister aller Art und deren Bekämpfung - 08.12.2012 (2)
  11. TR/Crypt.ZPACK.Gen2 in C:\Program Files\Skype\Phone\Skype.exe
    Plagegeister aller Art und deren Bekämpfung - 27.07.2012 (2)
  12. TR/Crypt.ZPACK.Gen2 in Datei Skype.exe gefunden
    Plagegeister aller Art und deren Bekämpfung - 11.05.2012 (25)
  13. TR/Crypt.ZPACK.Gen2 in Skype.exe und starsear.ch
    Plagegeister aller Art und deren Bekämpfung - 13.11.2011 (3)
  14. TR/Crypt.ZPACK.Gen2 in skypeportable/phone/skype.exe
    Plagegeister aller Art und deren Bekämpfung - 02.11.2011 (3)
  15. Avira meldet in Skype.exe' ein unerwünschtes Prog. namens TR/Crypt.ZPACK.Gen2' [trojan]
    Log-Analyse und Auswertung - 22.10.2011 (4)
  16. TR/Crypt:Xpack.gen in Skype.exe
    Log-Analyse und Auswertung - 30.12.2010 (34)
  17. TR/Crypt.XPACK.Gen in C:\Programme\Skype\Phone\Skype.exe
    Plagegeister aller Art und deren Bekämpfung - 24.10.2010 (2)

Zum Thema TR/Crypt.ZPACK.Gen2 - in Programme/Skype/Phone/Skype.exe - Hallo zusammen, ich hoffe, dass ihr mir helfen könnt. Nachdem ich soeben Skype staren wollte, brachte Antivir die Meldung, dass sich TR/Crypt.ZPACK.Gen2 in der Datei Programme/Skype/Phones/Skype.exe verstecken würde. Nachdem ich - TR/Crypt.ZPACK.Gen2 - in Programme/Skype/Phone/Skype.exe...
Archiv
Du betrachtest: TR/Crypt.ZPACK.Gen2 - in Programme/Skype/Phone/Skype.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.