Hallo,

als ich vor 3 Tagen Avira Virensoftware durchlaufen liess, bekam ich auf meinem alten Notebook plötzlich eine Meldung:

Name: TR/Crypt.XPACK.Gen
Entdeckt am: 21.07.2016
Typ: Malware
Auswirkung: Mittel
Gemeldete Infektionen: Niedrig
Betriebssystem: Windows

An meinem Router sind folgende Geräte angeschlossen:

- das alte Notebook mit Virus per WLAN
- 1 Smartphone per WLAN
- 1 PC per WLAN
- 1 PC per LAN

Der Virus ist in Quarantäne und entfernt.
Die Virensoftware zeigt nichts mehr an.

Der Dateiname des Virus: C:\ProgramFiles(x86)MozillaMaintenanceService\maintenanceservice.exe
Die Datei habe ich gelöscht.


Fragen:

1. Kann dieser Virus auf den Router übergehen und alle anderen Geräte LAN und WLAN ebenfalls infizieren?

2. Kann dieser Virus obwohl er nicht mehr von der Virensoftware gefunden wird im Hintergrund noch Schaden anrichten?

3. Kann diese Art Virus auch Schaden anrichten, wenn das Notebook nicht am Internet angeschlossen ist?

4. Firefox habe ich nicht installiert. Kann das ein Überbleibsel aus uralten Zeiten sein, was noch auf dem Notebook ist? Warum hat das System das jetzt erst erkannt?

5. Die Virus Datei hat ein Installationsdatum von letzter Woche, das System von Avira zeigt ein Datum von 2016 an. Was hat das zu bedeuten?

6. Kann Jemand, der technisch sehr versiert ist und dieses Notebook vor sich hat, diesen Virus in dieser Datei versteckt auf dem Notebook platzieren? Ist so etwas möglich?

Im Voraus vielen Dank für Eure Antworten.

Zitat:

Name: TR/Crypt.XPACK.Gen

Der Dateiname des Virus: C:\ProgramFiles(x86)MozillaMaintenanceService\maintenanceservice.exe
Die Datei habe ich gelöscht.

Bei diesem Fund von Avira handelt es sich um einen Fehlalarm. Das heißt, Avira hat fälschlicherhweise die legitime .exe Datei (welche zu Mozilla/Firefox) gehört, als schädlich eingestuft.
Die Datei zu löschen war daher in diesem Fall eindeutig die falsche Entscheidung.

Mein Tipp für die Zukunft:
Ein großer Fehler ist es, wenn man wie du, "blind" dem Antivirenprogramm vertraut. Das Programm sagt, "da ist ein Schädling" und du schaltest dein Hirn aus und lässt löschen. Hast du dir den Dateipfad einmal genau angesehen? Eine kurze Recherche über Google (< 1 min) hätte dir gezeigt, dass es sich um eine legitime Datei handelt, die Avira hier bemängelt.

Damit erübrigen sich auch alle deine Fragen.


Wir empfehlen Avira schon länger nicht mehr, sondern folgendes:
Cleanup & Maßnahmen zur Absicherung des Rechners (siehe insbesondere Punkt 2).

Was mich irritierte ist, dass Avira die Datei nannte und dahinter stand: ist das Trojanische Pferd und dann der Name vom Trojaner.
Aber ich habe gar keinen Mozilla Firefox Browser installiert, deswegen dachte ich, dass der Trojaner sich unter diesem offiziellen Namen versteckt.
Mein Hirn habe ich zwar nicht ganz ausgeschaltet, nur ich habe leider nicht so viel Erfahrung und Ahnung von Trojanern und Computern wie Du. Um ehrlich zu sein, habe ich gar keine Ahnung... Das war die erste Begegnung mit einem sogenannten Trojaner...
Glücklicherweise ist es nun ein Fehlalarm. :-)

Der Link ist klasse ;-)

Vielen Dank für die schnelle und hilfreiche Antwort. :-)

Natürlich kann sich ein Schädling als maintenanceservice.exe tarnen. Dateinamen sind ja beliebig, kann ja jeder eine Datei nennen wie er will. Aber sowas ist mir noch nicht untergekommen. Das wird wohl ein Rest vom einem deinstallierten Firefox gewesen sein, da wurde der Wartungsdienst nicht entfernt. Und Avira ist bekannt dafür, dass es zu komplettem Müll mutiert ist und sehr viele false positives hat.

Da du Firefox angeblich nicht mehr benutzt, ist mal eine Warnung zu Google Chrome angesagt:

Lesestoff:
Google Chrome

Offensichtlich nutzt du den Browser Chrome von Google. Von der Verwendung dieses Browsers muss man aus Datenschutzgründen dringend abraten. Siehe auch Google: Chrome-Browser scannt lokale Dateien auf Windows-PCs

Installiere Mozilla Firefox, damit lassen sich auch Profildaten aus Chrome importieren, anschließend Google Chrome deinstallieren.

Den Link schaue ich mir später in Ruhe an.

Irgendwann ist immer das erste Mal...
Firefox ist seit 2016 runter vom Gerät. Das Notebook war 2 Wochen woanders. Die sogenannte Firefox Datei, die Avira gefunden und als Trojaner deklariert hat, wurde definitiv genau in diesem Zeitraum installiert, dass war definitiv das Einzigste was in diesem Zeitraum installiert wurde. Allerdings stand bei Avira entdeckt 2016.

Ich möchte hier nicht näher auf die privaten Hintergründe eingehen, nur so viel, meine Sorgen sind berechtigt.

Falls Avira Recht hatte, gibt es bzgl. diesen Trojaners Punkte von den oben aufgeführten Fragen, die zutreffen, bzw. was genau müsste ich dann dazu wissen?

Zitat:

nur so viel, meine Sorgen sind berechtigt.

Spätestens nach dem Beitrag von M-K-D-B nicht mehr. Und ich teile seine Einschätzung, dass ein Fehlalarm die sehr viel plausiblere Erklärung ist v.a. wenn man weiß, dass Avira einfach nur noch Müll ist.

Du solltest dich von Avira und Google Chrome trennen.

Zitat:

als ich vor 3 Tagen Avira Virensoftware durchlaufen liess, bekam ich auf meinem alten Notebook plötzlich eine Meldung:

Name: TR/Crypt.XPACK.Gen
Entdeckt am: 21.07.2016

Ist wohl auch keinem vorher aufgefallen

Hab mal nach TR/Crypt.XPACK.Gen im Board gesucht.
Es gibt 250 (zweihunderfünfzig) Threads, die das als Thema haben.
Fast in jedem Thread ist es Avira, das Alarm schlägt

Zitat:

Zitat von webwatcher

Fast in jedem Thread ist es Avira, das Alarm schlägt

puh, gott sei Dank hast du dieses Mal wenigstens nicht wieder irgendwelche Schrottseiten mit irgendwelchen Hubba-Dubba-Analysen gewatscht.

aber lass dir als Geheimtip verraten, wenn ein AV einen Namen für eine generische Erkennung hat, dann findet dieses AV halt auch diese Erkennung öfter.

zufällig hab ich hier auch noch zwei alte:
https://www.virustotal.com/gui/file/48206ac206cce6bfc1b16c028f830cdfe74de4dbe060d35619ba1801ae127986/detection

https://www.virustotal.com/gui/file/22cbdb1a87bbb83470adc0f18ac8f3aef3a47bb3fbe13def7d0a4b1c0768dfdb/detection

Die genauen Hintergründe sind mir heute natürlich auch nicht mehr so geläufig, da einerseits Fund beim Kumpel von Avira und bei mir jemand anderes.

Aber bei der "movie.exe" weiß ich noch von der webwatschung her von einer tollen webseite, mit vielen Seiten, (die zwar schon nach "Seite 1" zuende waren), aber die vier tollen Bildchen mit den vier tollen Filmchen auf Seite 1, die dann übrigens alle namentlich gleich genannt, das weiß ich noch!

aber es besteht ja Hoffnung für dich, denn wenn es bald keine Fremd-AV's mehr gibt, wirst du wahrscheinlich ja nur noch die millionen .gen-Erkennungen vom Defender finden:
https://docs.microsoft.com/de-de/windows/security/threat-protection/intelligence/malware-naming

wobei meine Hoffnung natürlich wäre, du würdest die Ecken des webs eher nicht watschen...

Was zwar nicht, was dich nach zwei Jahren bewogen hat, so heftig wieder einzusteigen aber sei´s drum. Ein etwas ironisch gemeinter Beitrag kann es ja wohl nicht sein?

https://malwaretips.com/blogs/remove-trcrypt-xpack-gen/

Zitat:

TR/Crypt.XPACK.Gen is a heuristic detection designed to generically detect a Trojan Horse. Due to the generic nature of this threat, we are unable to provide specific information on what it does.

Nix genaues weiß man nicht...