|
Log-Analyse und Auswertung: Antivir findet plötzlich TR/Crypt.XPACK.GenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
26.01.2009, 14:59 | #1 |
| Antivir findet plötzlich TR/Crypt.XPACK.Gen Hallo, ich glaube ich habe ein Problem mit einem Trojaner. Ich verwende auf meinem Computer AntiVir Personal und scanne mein System auch regelmäßig. Nach dem letzten Update findet AntiVir auf einmal angeblich einen Trojaner (TR/Crypt.XPACK.Gen) in einem Archiv (genauer gesagt einer Datei darinnen namens "Decode.exe"), welches sich schon seit Jahren auf meinem PC befindet und ein altes DOS-Spiel enthält. Bei früheren Scans hat nie ein Virenscanner darauf angeschlagen. Ich habe besagtes Archiv nun erst einmal in Quarantäne gesteckt, weiß nun aber nicht, wie ich weiter vorgehen soll bzw. ob mein PC anderweitig "verseucht" oder gefährdet ist. Deshalb wäre ich für Hilfe hier aus dem Forum dankbar! Ich habe ein HijackThis-Log erstellt und die angeblich betroffene Datei bei VirusTotal überprüft. Die Ergebnisse folgen unten. HijackThis-Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:17:54, on 26.01.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE D:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\CardReader2.0\OTiReader.exe C:\WINDOWS\System32\svchost.exe C:\Programme\CardReader2.0\CRBroadCasting.exe D:\Programme\D-Link\AirPlus G\AirGCFG.exe C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\sstray.exe D:\Programme\Motherboard Monitor 5\MBM5.EXE C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe D:\Programme\ZoneAlarm\zlclient.exe H:\Spiele\World of Warcraft\BLASC.exe C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe D:\Programme\Microsoft Office\Office\OSA.EXE D:\crash\Treiber\Board\driver_audio_creative_5880_wdm\wdmdrv\wdm\starter.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe D:\Programme\Microsoft Office\Office\MSOFFICE.EXE C:\WINDOWS\system32\notepad.exe H:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\Explorer.EXE D:\Programme\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h*p://w*w.budcooperation.de/raid_dkp_planer/index.php?page=termin&sid=390d3c610159817b822bdc8b2b84a9fa R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h*p://w*w.budcooperation.de/raid_dkp_planer/index.php?page=termin&sid=390d3c610159817b822bdc8b2b84a9fa R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h*p://w*w.budcooperation.de/raid_dkp_planer/index.php?page=termin&sid=390d3c610159817b822bdc8b2b84a9fa R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - D:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CRBroadCasting] C:\Programme\CardReader2.0\CRBroadCasting.exe O4 - HKLM\..\Run: [D-Link AirPlus G] D:\Programme\D-Link\AirPlus G\AirGCFG.exe O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [MBM 5] "D:\Programme\Motherboard Monitor 5\MBM5.EXE" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Programme\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [BLASC] "H:\Spiele\World of Warcraft\BLASC.exe" silent O4 - HKCU\..\Run: [Remote Control Editor] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user') O4 - Startup: Office-Start.lnk = D:\Programme\Microsoft Office\Office\OSA.EXE O4 - Startup: Starter.lnk = D:\crash\Treiber\Board\driver_audio_creative_5880_wdm\wdmdrv\wdm\starter.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - H:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - H:\Programme\ICQ6\ICQ.exe O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - h*p://software-dl.real.com/0617cdfa54f0a9dda223/netzip/RdxIE601_de.cab O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h*p://download.divx.com/player/DivXBrowserPlugin.cab O16 - DPF: {BE833F39-1E0C-468C-BA70-25AAEE55775E} (System Requirements Lab) - h*p://w*w.systemrequirementslab.com/sysreqlab.cab O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: OTi Card Reader Service - Unknown owner - C:\Programme\CardReader2.0\OTiReader.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 6789 bytes VirusTotal-Scan (gefiltert): Datei Decode.exe empfangen 2009.01.26 14:21:41 (CET) Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.73 2009.01.26 - AhnLab-V3 5.0.0.2 2009.01.26 - AntiVir 7.9.0.60 2009.01.26 TR/Crypt.XPACK.Gen Authentium 5.1.0.4 2009.01.26 - Avast 4.8.1281.0 2009.01.25 - AVG 8.0.0.229 2009.01.26 - BitDefender 7.2 2009.01.26 - CAT-QuickHeal 10.00 2009.01.24 - ClamAV 0.94.1 2009.01.26 - Comodo 947 2009.01.26 - DrWeb 4.44.0.09170 2009.01.26 - eSafe 7.0.17.0 2009.01.25 - eTrust-Vet 31.6.6325 2009.01.24 - F-Prot 4.4.4.56 2009.01.25 - F-Secure 8.0.14470.0 2009.01.26 - Fortinet 3.117.0.0 2009.01.25 - GData 19 2009.01.26 - Ikarus T3.1.1.45.0 2009.01.26 - K7AntiVirus 7.10.606 2009.01.26 - Kaspersky 7.0.0.125 2009.01.26 - McAfee 5506 2009.01.25 - McAfee+Artemis 5506 2009.01.25 - Microsoft 1.4205 2009.01.26 - NOD32 3800 2009.01.26 - Norman 5.93.01 2009.01.26 - nProtect 2009.1.8.0 2009.01.26 - Panda 9.5.1.2 2009.01.26 - PCTools 4.4.2.0 2009.01.26 - Prevx1 V2 2009.01.26 - Rising 21.13.42.00 2009.01.23 - SecureWeb-Gateway 6.7.6 2009.01.26 Trojan.Crypt.XPACK.Gen Sophos 4.37.0 2009.01.26 - Sunbelt 3.2.1835.2 2009.01.16 - Symantec 10 2009.01.26 - TheHacker 6.3.1.5.229 2009.01.26 - TrendMicro 8.700.0.1004 2009.01.26 - VBA32 3.12.8.11 2009.01.25 - ViRobot 2009.1.23.1577 2009.01.26 - VirusBuster 4.5.11.0 2009.01.25 - weitere Informationen File size: 12288 bytes MD5...: 0a27d785afde5f090e152d171ec03665 SHA1..: cfcf2b490354c628ad1f0592fe5568f25f68ef93 SHA256: 5773dc2c83fbc01c641f2d8ab153cd538007dc6635a3b2e41a2a5ea9ef38fa92 SHA512: a624745992f678221a9f8f97931f4e8bb8675fd0f20ee659597b8b9aa927a1f7<br>9a1350045c3e81beeb4ec18ea7be1b768307df23238c34c01ada162e320ee1ae<br> ssdeep: 192:nGkPnrJ2lwdinHHIEV7DXL1HhzWD3aXKDLo0io+:FtMwdaH79HhzWD6K<br> PEiD..: - TrID..: File type identification<br>Win32 Executable Generic (38.4%)<br>Win32 Dynamic Link Library (generic) (34.1%)<br>Win16/32 Executable Delphi generic (9.3%)<br>Generic Win/DOS Executable (9.0%)<br>DOS Executable Generic (9.0%) PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x4015ae<br>timedatestamp.....: 0xa20e2a59L (invalid)<br>machinetype.......: 0x14c (I386)<br><br>( 4 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>CODE 0x1000 0x1000 0xe00 6.08 d01c699afdbc50f8982d951b91bf6140<br>DATA 0x2000 0x609000 0x400 4.27 3652d613eee2eed3ec0d33feb484eb1e<br>.idata 0x60b000 0x1000 0x600 4.37 0e0a16dfec26df25cb4ff4447884afac<br>.reloc 0x60c000 0x1000 0x400 4.35 8aefc78262d19931e5463929dc8144e9<br><br>( 4 imports ) <br>> KERNEL32.dll: LoadLibraryA, GetProcessHeap, SetFileAttributesA, GlobalSize, _lopen, _lcreat, GlobalFree, GetStdHandle, SetCurrentDirectoryA, GetModuleHandleA, FreeLibrary, GlobalAlloc, _llseek, CreateDirectoryA, ExitProcess, GetModuleFileNameA, GetCommandLineA, _lclose, _lwrite, GetProcAddress, _lread<br>> MSACM32.dll: acmStreamPrepareHeader, acmStreamConvert, acmStreamClose, acmFormatSuggest, acmDriverRemove, acmDriverOpen, acmDriverClose, acmDriverAddA, acmStreamOpen, acmStreamUnprepareHeader<br>> USER32.dll: PostQuitMessage, PeekMessageA, MessageBoxA, LoadIconA, GetMessageA, GetCursorPos, FindWindowA, DispatchMessageA, DefWindowProcA, CreateWindowExA, WaitMessage, UpdateWindow, TranslateMessage, ShowWindow, RegisterClassA<br>> GDI32.dll: GetStockObject<br><br>( 0 exports ) <br> packers (Kaspersky): PE_Patch Ist es eine verbindliche Aussage, wenn von 39 überprüfenden Virenscannern auf VirusTotal nur 2 diese Datei als Trojaner erkennen? Normalerweise würde ich so etwas ohne großes Nachfragen löschen, aber ich hänge an diesem Spiel und würde es ungerne löschen müssen... naja, wenn es nicht anders geht wird mit wohl nichts anderes übrig bleiben, aber vielleicht habt Ihr ja noch weitere Informationen. Vielen Dank schon einmal für Eure Hilfe! |
26.01.2009, 15:28 | #2 |
| Antivir findet plötzlich TR/Crypt.XPACK.Gen Schicke die von Antivir gemeldete Datei an Avira mit der Info "verdacht auf Fehlalarm"
__________________http://analysis.avira.com/samples/index.php Dann aktualisiere dein Windows via www.windowsupdate.com und installiere dir alle angebotenen wichtigen Updates. Wiederhole das so oft, bis dir keine wichtigen Updates mehr angeboten werden.
__________________ |
Themen zu Antivir findet plötzlich TR/Crypt.XPACK.Gen |
ad-aware, adobe, antivir, antivirus, auf einmal, avira, bho, computer, explorer, firefox, gen 2, hijack, hkus\s-1-5-18, home, internet, internet explorer, monitor, mozilla, object, problem, remote control, scan, software, system, tr/crypt.xpack.ge, tr/crypt.xpack.gen, virus, windows, windows xp |