TR/Crypt.XPACK.Gen2 entfernen?

m4dguy · 09.04.2014, 11:17

Hey,
entwickle derzeit Software für meine Masterarbeit und wollte aus dem Grund FLTK im Release-Modus neu compilieren.
Nach dem Compilieren hat sich Avira mit einem Fund in einigen der generierten .exe Dateien gemeldet (shape.exe, CubeView.exe, cube.exe, gl_overlay.exe, fullscreen.exe). Wie sich herausgestellt hat, wurde (und wird wird sobald ich sie neu erstelle/ kompiliere) auf diese Dateien vom Trojaner TR/Crypt.XPACK.Gen2 zugegriffen. Die Dateien sind gelockt, ich kann nicht ohne Adminberechtigung auf diese zugreifen und Avira meldet wenig später, dass es sich bei ihnen ebenfalls um den Trojaner TR/Crypt.XPACK.Gen2 handelt.

Hier der Log vom Avira:

Code:

ATTFilter

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Mittwoch, 9. April 2014  11:46


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Antivirus Free
Seriennummer   : 0000149996-AVHOE-0000001
Plattform      : Windows 7 Home Premium
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : M4DGUY-PC

Versionsinformationen:
BUILD.DAT      : 14.0.3.350     56624 Bytes  25.02.2014 11:41:00
AVSCAN.EXE     : 14.0.3.332   1058384 Bytes  18.02.2014 09:45:05
AVSCANRC.DLL   : 14.0.2.180     62008 Bytes  12.12.2013 11:07:41
LUKE.DLL       : 14.0.3.336     65616 Bytes  18.02.2014 09:45:12
AVSCPLR.DLL    : 14.0.3.336    124496 Bytes  18.02.2014 09:45:05
AVREG.DLL      : 14.0.3.336    250448 Bytes  18.02.2014 09:45:04
avlode.dll     : 14.0.3.336    544848 Bytes  18.02.2014 09:45:04
avlode.rdf     : 14.0.3.38      58680 Bytes  13.03.2014 16:27:14
VBASE000.VDF   : 7.11.70.0   66736640 Bytes  04.04.2013 20:39:02
VBASE001.VDF   : 7.11.74.226  2201600 Bytes  30.04.2013 14:42:32
VBASE002.VDF   : 7.11.80.60   2751488 Bytes  28.05.2013 16:36:31
VBASE003.VDF   : 7.11.85.214  2162688 Bytes  21.06.2013 15:02:11
VBASE004.VDF   : 7.11.91.176  3903488 Bytes  23.07.2013 11:27:58
VBASE005.VDF   : 7.11.98.186  6822912 Bytes  29.08.2013 22:14:26
VBASE006.VDF   : 7.11.139.38 15708672 Bytes  27.03.2014 15:17:28
VBASE007.VDF   : 7.11.139.39     2048 Bytes  27.03.2014 15:17:28
VBASE008.VDF   : 7.11.139.40     2048 Bytes  27.03.2014 15:17:28
VBASE009.VDF   : 7.11.139.41     2048 Bytes  27.03.2014 15:17:28
VBASE010.VDF   : 7.11.139.42     2048 Bytes  27.03.2014 15:17:28
VBASE011.VDF   : 7.11.139.43     2048 Bytes  27.03.2014 15:17:28
VBASE012.VDF   : 7.11.139.44     2048 Bytes  27.03.2014 15:17:28
VBASE013.VDF   : 7.11.139.45     2048 Bytes  27.03.2014 15:17:28
VBASE014.VDF   : 7.11.139.171   111104 Bytes  28.03.2014 17:30:03
VBASE015.VDF   : 7.11.140.23   150016 Bytes  30.03.2014 10:13:18
VBASE016.VDF   : 7.11.140.143   222720 Bytes  01.04.2014 10:17:59
VBASE017.VDF   : 7.11.140.235   144384 Bytes  03.04.2014 21:04:44
VBASE018.VDF   : 7.11.141.81   193536 Bytes  05.04.2014 14:38:11
VBASE019.VDF   : 7.11.141.203   241152 Bytes  08.04.2014 14:07:30
VBASE020.VDF   : 7.11.141.204     2048 Bytes  08.04.2014 14:07:30
VBASE021.VDF   : 7.11.141.205     2048 Bytes  08.04.2014 14:07:30
VBASE022.VDF   : 7.11.141.206     2048 Bytes  08.04.2014 14:07:30
VBASE023.VDF   : 7.11.141.207     2048 Bytes  08.04.2014 14:07:30
VBASE024.VDF   : 7.11.141.208     2048 Bytes  08.04.2014 14:07:30
VBASE025.VDF   : 7.11.141.209     2048 Bytes  08.04.2014 14:07:30
VBASE026.VDF   : 7.11.141.210     2048 Bytes  08.04.2014 14:07:30
VBASE027.VDF   : 7.11.141.211     2048 Bytes  08.04.2014 14:07:30
VBASE028.VDF   : 7.11.141.212     2048 Bytes  08.04.2014 14:07:30
VBASE029.VDF   : 7.11.141.213     2048 Bytes  08.04.2014 14:07:30
VBASE030.VDF   : 7.11.141.214     2048 Bytes  08.04.2014 14:07:30
VBASE031.VDF   : 7.11.142.34   152064 Bytes  09.04.2014 08:52:38
Engineversion  : 8.3.18.2  
AEVDF.DLL      : 8.3.0.4       118976 Bytes  20.03.2014 15:39:02
AESCRIPT.DLL   : 8.1.4.198     528584 Bytes  28.03.2014 17:30:02
AESCN.DLL      : 8.3.0.2       135360 Bytes  20.03.2014 15:39:02
AESBX.DLL      : 8.2.20.6     1331575 Bytes  13.01.2014 16:06:15
AERDL.DLL      : 8.2.0.138     704888 Bytes  02.12.2013 16:48:36
AEPACK.DLL     : 8.4.0.16      778440 Bytes  02.04.2014 18:38:00
AEOFFICE.DLL   : 8.3.0.2       201084 Bytes  13.03.2014 16:27:13
AEHEUR.DLL     : 8.1.4.1004   6643912 Bytes  03.04.2014 21:04:43
AEHELP.DLL     : 8.3.0.0       274808 Bytes  11.03.2014 15:35:37
AEGEN.DLL      : 8.1.7.24      442743 Bytes  11.03.2014 15:35:37
AEEXP.DLL      : 8.4.1.258     512376 Bytes  13.03.2014 16:27:14
AEEMU.DLL      : 8.1.3.2       393587 Bytes  11.07.2012 09:30:30
AECORE.DLL     : 8.3.0.6       241864 Bytes  19.03.2014 15:32:51
AEBB.DLL       : 8.1.1.4        53619 Bytes  06.11.2012 13:19:14
AVWINLL.DLL    : 14.0.3.252     23608 Bytes  18.02.2014 09:45:01
AVPREF.DLL     : 14.0.3.252     48696 Bytes  18.02.2014 09:45:04
AVREP.DLL      : 14.0.3.252    175672 Bytes  18.02.2014 09:45:04
AVARKT.DLL     : 14.0.3.336    256080 Bytes  18.02.2014 09:45:01
AVEVTLOG.DLL   : 14.0.3.336    165968 Bytes  18.02.2014 09:45:02
SQLITE3.DLL    : 3.7.0.1       397704 Bytes  08.04.2013 19:24:16
AVSMTP.DLL     : 14.0.3.252     60472 Bytes  18.02.2014 09:45:05
NETNT.DLL      : 14.0.3.252     13368 Bytes  18.02.2014 09:45:12
RCIMAGE.DLL    : 14.0.3.260   4979256 Bytes  18.02.2014 09:45:01
RCTEXT.DLL     : 14.0.3.282     72760 Bytes  18.02.2014 09:45:01

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_5345092a\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: Interaktiv
Sekundäre Aktion......................: Quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Prüfe alle Dateien....................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +, +, +, +, +, +, +, 
Makrovirenheuristik...................: ein
Dateiheuristik........................: Vollständig
Abweichende Gefahrenkategorien........: +PCK,+SPR,

Beginn des Suchlaufs: Mittwoch, 9. April 2014  11:46

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'a2service.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '104' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '161' Modul(e) wurden durchsucht
Durchsuche Prozess 'Pen_TouchService.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'WISPTIS.EXE' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'Egishlpsvc.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'EgisTicketService.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'EgisService.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '110' Modul(e) wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'CALoadService.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlservr.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'ReminderFoxUpdater.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchAnonymizerHelper.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlbrowser.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlwriter.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'Pen_Tablet.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'WISPTIS.EXE' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'TabTip.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '209' Modul(e) wurden durchsucht
Durchsuche Prozess 'TabTip32.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'Pen_TouchUser.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'Pen_TabletUser.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'Pen_Tablet.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'RAVCpl64.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'Energy Management.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'utility.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'TSVNCache.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'PmmUpdate.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'S6000Mnt.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'EgisPLTSR.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '101' Modul(e) wurden durchsucht
Durchsuche Prozess 'EgisTSR.exe' - '94' Modul(e) wurden durchsucht
Durchsuche Prozess 'EgisUpdate.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'pidgin.exe' - '175' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'RunDll32.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPHelper.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'InputPersonalization.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSVC.EXE' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSvcM.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'devenv.exe' - '203' Modul(e) wurden durchsucht
Durchsuche Prozess 'codeblocks.exe' - '122' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '153' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_12_0_0_77.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_12_0_0_77.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'mspdbsrv.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'TSVNCache.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '122' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\windows\system32\svchost.exe'
Signiert -> 'C:\windows\system32\winlogon.exe'
Signiert -> 'C:\windows\explorer.exe'
Signiert -> 'C:\windows\system32\smss.exe'
Signiert -> 'C:\windows\system32\wininet.DLL'
Signiert -> 'C:\windows\system32\wsock32.DLL'
Signiert -> 'C:\windows\system32\ws2_32.DLL'
Signiert -> 'C:\windows\system32\services.exe'
Signiert -> 'C:\windows\system32\lsass.exe'
Signiert -> 'C:\windows\system32\csrss.exe'
Signiert -> 'C:\windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\windows\system32\spoolsv.exe'
Signiert -> 'C:\windows\system32\alg.exe'
Signiert -> 'C:\windows\system32\wuauclt.exe'
Signiert -> 'C:\windows\system32\advapi32.DLL'
Signiert -> 'C:\windows\system32\user32.DLL'
Signiert -> 'C:\windows\system32\gdi32.DLL'
Signiert -> 'C:\windows\system32\kernel32.DLL'
Signiert -> 'C:\windows\system32\ntdll.DLL'
Signiert -> 'C:\windows\system32\ntoskrnl.exe'
Signiert -> 'C:\windows\system32\drivers\beep.sys'
Signiert -> 'C:\windows\system32\ctfmon.exe'
Signiert -> 'C:\windows\system32\imm32.dll'
Signiert -> 'C:\windows\system32\dsound.dll'
Signiert -> 'C:\windows\system32\aclui.dll'
Signiert -> 'C:\windows\system32\msvcrt.dll'
Signiert -> 'C:\windows\system32\d3d9.dll'
Signiert -> 'C:\windows\system32\dnsapi.dll'
Signiert -> 'C:\windows\system32\mshtml.dll'
Signiert -> 'C:\windows\system32\regsvr32.exe'
Signiert -> 'C:\windows\system32\rundll32.exe'
Signiert -> 'C:\windows\system32\userinit.exe'
Signiert -> 'C:\windows\system32\reg.exe'
Signiert -> 'C:\windows\regedit.exe'
Die Systemdateien wurden durchsucht ('34' Dateien)

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\FTLK\test\fullscreen.exe'
C:\FTLK\test\fullscreen.exe
  [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2
Beginne mit der Suche in 'C:\FTLK\test\gl_overlay.exe'
C:\FTLK\test\gl_overlay.exe
  [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2
Beginne mit der Suche in 'C:\FTLK\test\shape.exe'
C:\FTLK\test\shape.exe
  [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2

Beginne mit der Desinfektion:
C:\FTLK\test\shape.exe
  [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2
  [WARNUNG]   Die Datei wurde ignoriert.
C:\FTLK\test\gl_overlay.exe
  [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2
  [WARNUNG]   Die Datei wurde ignoriert.
C:\FTLK\test\fullscreen.exe
  [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2
  [WARNUNG]   Die Datei wurde ignoriert.


Ende des Suchlaufs: Mittwoch, 9. April 2014  11:51
Benötigte Zeit: 00:09 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
   1175 Dateien wurden geprüft
      3 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
   1172 Dateien ohne Befall
      3 Archive wurden durchsucht
      3 Warnungen
      0 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.

Ein entfernen durch manuelles Löschen oder Avira blieb erfolglos, weil der Trojaner nach jedem Systemscan wieder auftaucht.
Ich habe weder Lust, noch Zeit mein System komplett neu aufzusetzen.
Ist es möglich die Nervensäge auf einfachere Art loszuwerden (etwa durch: Windows im abgesicherten Modus starten und anschließender Scan oder: Booten mit einer Unix-Bootdisk und anschließender Scan/ manuelles Löschen des Trojaners)?

TR/Crypt.XPACK.Gen2 entfernen?

Log-Analyse und Auswertung: TR/Crypt.XPACK.Gen2 entfernen?

TR/Crypt.XPACK.Gen2 entfernen?

Ähnliche Themen: TR/Crypt.XPACK.Gen2 entfernen?