Hallo ich habe ein Problem mit dem Trojaner TR/Crypt.XPACK.Gen.

Ich war heute Mittag ein wenig am Spielen als mein Avira Antivir eine Fehlermeldung gegeben hat : "In der Datei 'C:\Windows\Temp\~5E65.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern" und dem Trojaner angeblich den Zugriff verweigert hat.

Danach habe ich nochmals einen Virenscan durchgeführt der aber keine Virenfunde sondern nur 3 Warnungen und Hinweise festgestellt hat. Diese waren aber normal, weil Dateien nicht geöffnet werden konnten und dies laut Google nicht weiter schlimm ist.
Auch ein Online-Viren-Scan bei Symantec hat nichts festgestellt.

Als ich meinen PC später runtergefahren habe, in Ubuntu gebootet bin, wieder runtergefahren und in Windows 7 neu gebootet habe, war für ein paar Minuten wieder alles in Ordnung.

Dann kam aber wieder von Avira die Fehlermeldung. Nur diesmal hat sich der Virus schon weiter verbreitet: "In der Datei 'C:\Windows\Temp\~668F.tmp' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.Ausgeführte Aktion: Zugriff verweigern".

Mittels Hijack habe ich mal eine Logfile erstellt:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:15:56, on 18.11.2009
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe
C:\Program Files (x86)\Steam\steam.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Java\jre6\bin\jusched.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_ch&c=93&bd=Pavilion&pf=cndt
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe" /hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ICQ] "C:\Program Files (x86)\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [Logitech Vid] "C:\Program Files (x86)\Logitech\Logitech Vid\vid.exe" -bootmode
O4 - HKCU\..\Run: [Steam] "C:\Program Files (x86)\Steam\Steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Process Monitor (LVPrcS64) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 7349 bytes


Habe dies mal online auf der HijackThis Seite auswerten lassen und mir wurden 3 Sachen angezeigt die anscheinend irgendwie falsch sind.

1) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

Begründung:
Nicht bekanntes Programm.
Unnötiger (unwirksamer) Eintrag der entfernt werden kann!


2) O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)

Begründung:
Der angebliche Systemprozess läuft nicht im System32 Ordner und ist deshalb als schädlich einzustufen. Dieser Dienst (lsass.exe) scheint schädlich zu sein. Prozess läuft nicht im System32 Ordner!


3) O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)


Begründung:
Der angebliche Systemprozess läuft nicht im System32 Ordner und ist deshalb als schädlich einzustufen. Dieser Dienst (lsass.exe) scheint schädlich zu sein.


Dieser Virus/Trojaner scheint ja sehr hartnäckig zu sein. Muss ich denn Windows komplett Neuaufsetzen oder kann ich den löschen?
Ich weiss das einige bestimmt sagen werden das ich nur Ubuntu benutzen soll , aber ich nutze auch viel unter Windows.

Was mir noch einfällt, ich weiss nicht ob es was zur Sache tut, aber ich habe Ubuntu erst seit gestern drauf und es war ein ziemliches Theater mit dem ganzen Partitionen etc. Ich hatte davor nämlich Debian drauf und musste es erst löschen und dann Ubuntu neu einrichten. Naja, irgendwie kommt damit Windows nicht so klar, denn jedesmal wenn ich in Windows 7 booten will kommt die Meldung das ein Dateiträger auf Konsistenz überprüft werden muss.
Das habe ich schon gemacht, aber es kommt jeeeeeedes Mal sodass ich nun immer auf Abbrechen klicke.

Schonma ein für das Lesen hier und wäre echt nett wenn mir jemand helfen könnte.

Lg, Droso

Ich habe mal eine Frage, unzwar welches Spiel hast du gespielt als du den Virus bekommen hast?
Zufällig CoD6-MW2?

Ja schon ..... wieso denn? Bin ich nicht der einzige?

Ich habe nochmal den CCleaner benutz und Malwarebtes Anti-Malware drüber laufen lassen. Gefunden hat der eine infizierte Registry.

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3193
Windows 6.1.7600

18.11.2009 19:33:30
mbam-log-2009-11-18 (19-33-20).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 377726
Laufzeit: 49 minute(s), 35 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Als Action habe ich löschen genommen, beim Neustarten soll die wirksam werden, mal schauen ob gleich noch etwas kommt.

Lg, droso

Nun... ich bin nicht Spezialist auf dem Gebiet aber ich würde warten bevor du iwas formatierst... denn ich habe das selbe Problem auch und snakeh43 ebenfalls... und wir alle 3 spielen Call of Duty Modern Warfare 2... und benutzen Free AntiVir... nun... nenn mich Narr aber ich glaube das ist nur ein Fehler von Avira oder IW... wer weiß... aber trotzdem schon komisch..

Ja schon recht wirr der ganze Mist....

Also auf manchen Seiten steht das es eine Fehlermeldung von Avira ist... aber andererseits kann es doch gut sein das der Host über den Steam Pakete ( zB Trojaner ) verschicken kann?
Also es ist weit her geholt, aber es könnte doch sein?
Naja, ich hoff mal das klärt sich in den nächsten Tagen. Vielleicht kann ja mal auch ein Experte etwas antworten ^^.

Lg, Droso

Nun, das auf anderen Seiten steht das das ein Fehler von Avira ist hab ich leider noch nicht gefunden deswegen war ich zuerst auch sprachlos...
aber wenn es so wäre wie du sagst:
"""Also auf manchen Seiten steht das es eine Fehlermeldung von Avira ist... aber andererseits kann es doch gut sein das der Host über den Steam Pakete ( zB Trojaner ) verschicken kann?"""
Wäre es doch ziemlich... Problematisch für Infinity Wars und Activision nicht? So eine Blamage in den Schlagzeilen:"Die Actionspielemacher Infinity Wars und Activision haben ein Fehlerhaftes Spiel vermarktet, indem Virus im so genannten Multiplayer-Modus verschickt werden..." <-- find ich ziemlich schwachsinnig das iwelche Viren über den MP versendet werden *gg* aber möglich wäre es ja.. ich tippe eher auf das Prob. mit Avira... nur ich Frage mich wieso die Virusmeldung nicht schon vor 1 Woche kam?... oder wurde heute geupdatet...? sek ich schaue eben...
Gestern Abend wurde bei mir geupdatet und danach habe ich auch nicht mehr gespielt... nun möglich wäre es also...
Warten wir einfach mal ab, möglicherweise kriegen wir morgen ja wieder ein Update? Bisdahin heißt es Zielen und :-P

Hallo,
ich und ein paar Kumpels haben das gleiche Problem. Nur wenn wir zusammen Modern Warfare 2 spielen bekommen wir die Virenmeldung.

Alle 3 benutzen Free Antivir und bei jedem zeigt es den gleichen Virus in einer TEMP Datei ein. So jede Stunde 2 Meldungen.

Wie ich heute Vormittag 2 Stunden alleine gespielt habe kam nicht eine einzige Meldung und auch so wenn der Rechner läuft kommt nichts.

Ich hoffe das es nur eine Falschmeldung ist. Wenn schon mehrere das Problem haben dann sollte das ja eher der Fall sein als das es wirklich ein Virus ist oder?

Gruß Iron

hallo zusammen,


hab das selbe prblem wie ihr seitdem ich cod mw2 auf dem rechner habe.




kann einer mehr dazu sagen ?


danke mfg

Na dann...
ich würde das sagen das ist auf jedenfall eine Falschmeldung, kann sein das ich falsch liege aber wenn das wirklich nen Virus ist der über CoD kommt... haha dann kann sich IW waaaarm anziehen ;D

Rumors: Modern Warfare 2 IW.Net Contains a Trojan Virus

Also doch nen richtiger Virus? Hmm bei mir wird seit heute nichts mehr bei AntiVir vom Virus angezeigt...
Oh man... ich hoffe das ist wirklich ein Irrtum

Moin,
bei mir das gleiche Problem. während ich CoD-MP gezockt habe kam eine Viruswarnung von AntiVir.

Zitat:

In der Datei 'C:\Windows\Temp\~6588.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.

Hat jemand die Warnung schon mit einem anderen Scanner bekommen? Oder alle nur mit AntiVir?

Mo

ich hab gerade mal die Datei beim Online-Check von Kaspersky (Kaspersky Lab: Anti-Virus, Internet Security, Mobile Security & Antiviren-Software und Services f&#252;r Unternehmen) hoch geladen, mit negativem Ergebnis:

Zitat:

Zu überprüfende Datei: ~6588.tmp

Statistiken:
Bekannte Viren: 3250081 Updated: 20-11-2009
Größe der Datei (Kb): 25 Viren-Korpus: 0
Datei: 1 Warnungen: 0
Archive: 0 Verdächtigt: 0

könnte für eine Fehldiagnose von AntiVir sprechen. Ich möchte mich da aber jetzt nicht festlegen.

Hallo und

Es handelt sich um einen Fehlalarm.
Der "Fehler" sollte mit den nächsten Updates gelöst werden.


Bei einigen MW2 Spielern sollte sich, seit kurzer Zeit ihr Antivirus-Programm "AntiVir" gemeldet haben, dass der PC von einem Virus "TR/Crypt.XPACK.Gen" infiziert ist.

Hierbei handelt es sich um einen Fehlalarm welcher von AntiVir offizell bestätigt wurde.

Beunruhigte Spieler können trotzdem auf Nummer sicher gehen und Ihren Temporären Ordner löschen:
C:\Documents and Settings\yourusername\Local Settings\Temp with the file names ~B8.tmp and ~B8.vir. (windows XP)


Quelle: Activision Forum

Hi,
danke für die positive Meldung.

Hoffen wir mal das AntiVir das schnell in den Griff bekommt. Aber nun kann man wieder beruhigt schlafen wenn es offiziell bestätigt ist das es ein Fehlalarm war.