Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Crypt.XPACK.Gen3

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 10.10.2010, 20:44   #1
tekel
 
TR/Crypt.XPACK.Gen3 - Standard

TR/Crypt.XPACK.Gen3



Hallo,

ich habe ein ähnliches Problem, wie es Toppy in Ihrem Forum beschrieben hat: Avira AntiVir meldet mir den Trojaner TR/Crypt.XPACK.Gen3 in C:\WINDOWS\Temp\TMP8D.tmp; C:\WINDOWS\Temp\TMP8E.tmp; C:\WINDOWS\Temp\TMP6E.tmp; C:\WINDOWS\Temp\TMP83.tmp. Ich habe die Dateien in Quarantäne verschoben. Ein Scan mit Malwarebyte - Antimalware 1.46 (nach Deaktivierung des Wiederherstellungspunktes) lieferte keinen Virusfund. In Ihrem Forum empfehlen Sie dringend, dass ein Scan mit ComboFix nur nach Anweisung eines "Kompetenzlers" durchgeführt werden soll. Ich habe anbei die Log Files von Malwarebyte 1.46 bzw. OTL angehängt. Ich würde mich freuen, wenn Sie sich diese Files anschauen und mir raten könnten, wie ich das Virusproblem beseitigt bekomme. Im Voraus schon herzlichen Dank für Ihr Bemühen.
Tekel

Alt 11.10.2010, 11:35   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.XPACK.Gen3 - Standard

TR/Crypt.XPACK.Gen3



Gibt es noch weitere Logs von Malwarebytes? Wäre sehr sinnfrei, wenn Du das ohne Funde gepostet hättest!
__________________

__________________

Alt 14.10.2010, 20:31   #3
tekel
 
TR/Crypt.XPACK.Gen3 - Standard

TR/Crypt.XPACK.Gen3



Hallo Arne,

zunächst vielen Dank fürs Anschauen der logfiles. Ich habe heute einen weiteren Quick-scan mit Malywarebytes gemacht. Das logfile habe ich angehängt. Es wurde kein Fund festgestellt. Ich habe auch keine Funde gelöscht bzw. Dateien, die in Quarantäne verschoben wurden. Ein aktueller Scan mit Avira klappt momentan nicht, der Rechner stürzt mir nach ca. 68 % ab. Bei jedem neuen Booten des Rechners ist das anti-phishing Modul von Zone-Alarm deaktiviert. Ich habe das letzte log file von Avira vom 02.10.10 angehängt, dort hat es jeweils in .tmp-Dateien 51 Infizierungen gefunden. Diese hatte ich damals aus der Quarantäne gelöscht.
__________________

Alt 15.10.2010, 13:52   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.XPACK.Gen3 - Standard

TR/Crypt.XPACK.Gen3



So, erstmal: Es ist ziemlich unsinnig, die Logs, als Textdatei vorliegend, in ein Worddokument zu gießen. Was ich brauch sind die reinen Textinformationen und die sind in der Original-Logdatei schon so drin wie ich sie brauche. Also lass die Logs so und speich sie nicht in ein Worddoc ab sondern poste einfach den Inhalt der Logdateien.

Zitat:
Art des Suchlaufs: Quick-Scan
Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 15.10.2010, 19:52   #5
tekel
 
TR/Crypt.XPACK.Gen3 - Standard

TR/Crypt.XPACK.Gen3



Hallo Cosinus,

anbei das neue logfile von Malwarebytes (Vollscan). Es wurden wieder keine infizierten Dateien gefunden. Ich habe auch nichts gelöscht oder es wurden Dateien in Quarantäne verschoben. die übrigen Auffälligkeiten bestehen aber nach wie vor.


Alt 15.10.2010, 20:17   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.XPACK.Gen3 - Standard

TR/Crypt.XPACK.Gen3



Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
DRV - (srescan) -- C:\WINDOWS\System32\ZoneLabs\srescan.sys File not found
IE - HKU\S-1-5-21-3357497900-2882494843-2153148228-1006\..\URLSearchHook: {66f2e20d-0da8-4c11-a9c8-dd8477b88acd} - C:\Programme\ZoneAlarm\tbZon1.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-3357497900-2882494843-2153148228-1006\..\URLSearchHook: {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL (Ask.com)
O2 - BHO: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - No CLSID value found.
[2010.08.14 19:13:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
@Alternate Data Stream - 135 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2
@Alternate Data Stream - 105 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:430C6D84
@Alternate Data Stream - 103 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A8ADE5D8
:Commands
[purity]
[resethosts]
[emptytemp]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________
--> TR/Crypt.XPACK.Gen3

Alt 15.10.2010, 20:57   #7
tekel
 
TR/Crypt.XPACK.Gen3 - Standard

TR/Crypt.XPACK.Gen3



Hallo Arne,

anbei das logfile von OTL. Habe den Eindruck, dass der Rechner wieder schneller läuft.

Alt 15.10.2010, 21:39   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.XPACK.Gen3 - Standard

TR/Crypt.XPACK.Gen3



Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 16.10.2010, 23:39   #9
tekel
 
TR/Crypt.XPACK.Gen3 - Standard

TR/Crypt.XPACK.Gen3



Hallo Arne,

anbei nun das logfile von ComboFix

Alt 17.10.2010, 12:38   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.XPACK.Gen3 - Standard

TR/Crypt.XPACK.Gen3



Code:
ATTFilter
FW: Kaspersky Anti-Hacker *enabled* {0BB8CA15-F396-46C7-9A59-108D852CFEC0}
FW: ZoneAlarm Firewall *enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
         
Kaspersky Antihacker und ZoneAlarm sind ja schon allein jew. ziemlich sinnfrei, aber beide zusammen installiert und aktiv zu haben ist so das ziemlich schlechteste, was man seinem System antun kann
Ich würde beides umgehend deinstallieren und die Windows-Firewall dafür einschalten.


Wenn Du das gemacht hast bitte so fortfahren:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:
ATTFilter
Filelook::
c:\windows\system32\Crypserv.exe
c:\windows\system32\Ckldrv.sys
c:\windows\Ckconfig.exe
c:\windows\Setup_ck.exe
c:\windows\Setup_ck.dll
c:\windows\Ckrfresh.exe
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 18.10.2010, 23:22   #11
tekel
 
TR/Crypt.XPACK.Gen3 - Standard

TR/Crypt.XPACK.Gen3



Hallo Arne,

ich war der Meinung, dass ich das Programm Kaspersky Antihacker längst deinstalliert hatte. Ich finde diesbezüglich keinen Hinweis, weder in der Liste installierter Programme noch wenn ich nach den entsprechenden Begriffen mit der Suchfunktion suchen lasse. Wie bekomme ich das Programm komplett deinstalliert?

Alt 19.10.2010, 08:40   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.XPACK.Gen3 - Standard

TR/Crypt.XPACK.Gen3



Dann igonorier das, wahrscheinlich ist es ein verwaister Eintrag, der noch im Sicherheitscenter ist. Den kriegen wir aber auch weg.

Nimm statt dem o.g. einfach das Script für CF:

Code:
ATTFilter
Seccenter::
FW: Kaspersky Anti-Hacker *enabled* {0BB8CA15-F396-46C7-9A59-108D852CFEC0}

Filelook::
c:\windows\system32\Crypserv.exe
c:\windows\system32\Ckldrv.sys
c:\windows\Ckconfig.exe
c:\windows\Setup_ck.exe
c:\windows\Setup_ck.dll
c:\windows\Ckrfresh.exe
         
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 24.10.2010, 18:44   #13
tekel
 
TR/Crypt.XPACK.Gen3 - Standard

TR/Crypt.XPACK.Gen3



Hallo Arne,

sorry hat etwas gedauert. Anbei das log file. Bei der Ausführung wurde ich nicht aufgefordert neu zu starten, stattdessen der Hinweis Combofix läuft im reduzierten Funktionalitätsmodus.

Ich habe zwischenzeitlich auch einen Scan mit Avira und Malwarebytes durchgeführt, beide Programme ergeben keinen Fund, wobei bei Avira noch 112 Dateien in Quarantäne stehen. Was ich dabei auch nicht verstehe ist, dass ich diesmal kein log file erhalten habe, nur eine Meldung das der Scan erfolgreich war.

Alt 24.10.2010, 19:56   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.XPACK.Gen3 - Standard

TR/Crypt.XPACK.Gen3



Zitat:
c:\windows\system32\Crypserv.exe
c:\windows\system32\Ckldrv.sys
c:\windows\Ckconfig.exe
c:\windows\Setup_ck.exe
c:\windows\Setup_ck.dll
c:\windows\Ckrfresh.exe
Bitte diese Dateien bei Virustotal auswerten lassen und von jeder den Ergebnislink posten. Falls Du die Dateien nicht siehst, musst Du sie evtl. vorher sichtbar machen.
Wenn eine Datei schon ausgewerte sein sollte, bitte eine weitere Auswertung starten.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 25.10.2010, 21:36   #15
tekel
 
TR/Crypt.XPACK.Gen3 - Standard

TR/Crypt.XPACK.Gen3



Hallo Arne,

anbei die Auswertungen von Virustotal (bin mir nicht sicher, ob es das ist, was Du meintest)

Antwort

Themen zu TR/Crypt.XPACK.Gen3
antimalware, antivir, antivir meldet, anweisung, avira, avira antivir, c:\windows, combofix, dateien, dringend, durchgeführt, empfehlen, files, forum, herzlichen, log, log files, meldet, problem, quarantäne, scan, temp, tmp, tr/crypt.xpack.ge, tr/crypt.xpack.gen, trojaner, trojaner tr/crypt.xpack.gen, windows, ähnliches




Ähnliche Themen: TR/Crypt.XPACK.Gen3


  1. TR/Crypt.XPACK.Gen3 Trojaner und HTML/ExpKit.Gen3
    Log-Analyse und Auswertung - 14.06.2014 (13)
  2. TR/Crypt.XPACK.Gen3
    Plagegeister aller Art und deren Bekämpfung - 12.04.2012 (24)
  3. TR/CRYPT.XPACK.Gen3
    Plagegeister aller Art und deren Bekämpfung - 19.02.2012 (1)
  4. TR/Crypt.XPACK.Gen, TR/Sirefef.BV.2, TR/Crypt.XPACK.Gen3, TR/PSW.Karagany.A.73
    Plagegeister aller Art und deren Bekämpfung - 15.02.2012 (2)
  5. TR/Crypt.XPACK.Gen3
    Plagegeister aller Art und deren Bekämpfung - 07.01.2012 (4)
  6. Crypt.XPACK.Gen3
    Plagegeister aller Art und deren Bekämpfung - 08.10.2011 (1)
  7. TR/Crypt.XPACK.Gen3
    Plagegeister aller Art und deren Bekämpfung - 22.03.2011 (31)
  8. TR/Crypt.XPACK.Gen3
    Plagegeister aller Art und deren Bekämpfung - 25.02.2011 (24)
  9. W32/Induc.A, TR/Dropper.Gen, TR/Crypt.ZPACK.Gen, TR/Crypt.XPACK.Gen3 gefunden - wie entfernen
    Plagegeister aller Art und deren Bekämpfung - 01.12.2010 (5)
  10. TR/Crypt.XPACK.Gen3
    Plagegeister aller Art und deren Bekämpfung - 12.11.2010 (6)
  11. TR/Crypt.XPACK.Gen3
    Plagegeister aller Art und deren Bekämpfung - 20.10.2010 (14)
  12. TR/Crypt.XPACK.Gen3
    Plagegeister aller Art und deren Bekämpfung - 17.10.2010 (3)
  13. TR/Crypt.XPACK.Gen3 - nach formatierung von C: TR/Crypt.XPACK.Gen2 gefunden
    Plagegeister aller Art und deren Bekämpfung - 17.10.2010 (9)
  14. TR/Crypt.XPACK.Gen3
    Plagegeister aller Art und deren Bekämpfung - 14.10.2010 (11)
  15. TR/Crypt.XPACK.Gen3, TR/Crypt.XPACK.Gen2
    Plagegeister aller Art und deren Bekämpfung - 10.10.2010 (4)
  16. Massenweise Viren werden in Windows/Temp erstellt (Tr/Crypt.xpack.Gen3+TR/Crypt.Pepn.Gen und andere)
    Plagegeister aller Art und deren Bekämpfung - 08.10.2010 (6)
  17. Befall mit TR/Crypt.XPACK.Gen und TR/Crypt.XPACK.Gen3
    Plagegeister aller Art und deren Bekämpfung - 21.09.2010 (23)

Zum Thema TR/Crypt.XPACK.Gen3 - Hallo, ich habe ein ähnliches Problem, wie es Toppy in Ihrem Forum beschrieben hat: Avira AntiVir meldet mir den Trojaner TR/Crypt.XPACK.Gen3 in C:\WINDOWS\Temp\TMP8D.tmp; C:\WINDOWS\Temp\TMP8E.tmp; C:\WINDOWS\Temp\TMP6E.tmp; C:\WINDOWS\Temp\TMP83.tmp. Ich habe die Dateien - TR/Crypt.XPACK.Gen3...
Archiv
Du betrachtest: TR/Crypt.XPACK.Gen3 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.