|
Plagegeister aller Art und deren Bekämpfung: TR/Crypt.XPACK.Gen3Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
10.10.2010, 20:44 | #1 |
| TR/Crypt.XPACK.Gen3 Hallo, ich habe ein ähnliches Problem, wie es Toppy in Ihrem Forum beschrieben hat: Avira AntiVir meldet mir den Trojaner TR/Crypt.XPACK.Gen3 in C:\WINDOWS\Temp\TMP8D.tmp; C:\WINDOWS\Temp\TMP8E.tmp; C:\WINDOWS\Temp\TMP6E.tmp; C:\WINDOWS\Temp\TMP83.tmp. Ich habe die Dateien in Quarantäne verschoben. Ein Scan mit Malwarebyte - Antimalware 1.46 (nach Deaktivierung des Wiederherstellungspunktes) lieferte keinen Virusfund. In Ihrem Forum empfehlen Sie dringend, dass ein Scan mit ComboFix nur nach Anweisung eines "Kompetenzlers" durchgeführt werden soll. Ich habe anbei die Log Files von Malwarebyte 1.46 bzw. OTL angehängt. Ich würde mich freuen, wenn Sie sich diese Files anschauen und mir raten könnten, wie ich das Virusproblem beseitigt bekomme. Im Voraus schon herzlichen Dank für Ihr Bemühen. Tekel |
11.10.2010, 11:35 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Crypt.XPACK.Gen3 Gibt es noch weitere Logs von Malwarebytes? Wäre sehr sinnfrei, wenn Du das ohne Funde gepostet hättest!
__________________
__________________ |
14.10.2010, 20:31 | #3 |
| TR/Crypt.XPACK.Gen3 Hallo Arne,
__________________zunächst vielen Dank fürs Anschauen der logfiles. Ich habe heute einen weiteren Quick-scan mit Malywarebytes gemacht. Das logfile habe ich angehängt. Es wurde kein Fund festgestellt. Ich habe auch keine Funde gelöscht bzw. Dateien, die in Quarantäne verschoben wurden. Ein aktueller Scan mit Avira klappt momentan nicht, der Rechner stürzt mir nach ca. 68 % ab. Bei jedem neuen Booten des Rechners ist das anti-phishing Modul von Zone-Alarm deaktiviert. Ich habe das letzte log file von Avira vom 02.10.10 angehängt, dort hat es jeweils in .tmp-Dateien 51 Infizierungen gefunden. Diese hatte ich damals aus der Quarantäne gelöscht. |
15.10.2010, 13:52 | #4 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Crypt.XPACK.Gen3 So, erstmal: Es ist ziemlich unsinnig, die Logs, als Textdatei vorliegend, in ein Worddokument zu gießen. Was ich brauch sind die reinen Textinformationen und die sind in der Original-Logdatei schon so drin wie ich sie brauche. Also lass die Logs so und speich sie nicht in ein Worddoc ab sondern poste einfach den Inhalt der Logdateien. Zitat:
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!
__________________ Logfiles bitte immer in CODE-Tags posten |
15.10.2010, 19:52 | #5 |
| TR/Crypt.XPACK.Gen3 Hallo Cosinus, anbei das neue logfile von Malwarebytes (Vollscan). Es wurden wieder keine infizierten Dateien gefunden. Ich habe auch nichts gelöscht oder es wurden Dateien in Quarantäne verschoben. die übrigen Auffälligkeiten bestehen aber nach wie vor. |
15.10.2010, 20:17 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Crypt.XPACK.Gen3 Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL DRV - (srescan) -- C:\WINDOWS\System32\ZoneLabs\srescan.sys File not found IE - HKU\S-1-5-21-3357497900-2882494843-2153148228-1006\..\URLSearchHook: {66f2e20d-0da8-4c11-a9c8-dd8477b88acd} - C:\Programme\ZoneAlarm\tbZon1.dll (Conduit Ltd.) IE - HKU\S-1-5-21-3357497900-2882494843-2153148228-1006\..\URLSearchHook: {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL (Ask.com) O2 - BHO: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - No CLSID value found. [2010.08.14 19:13:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521} @Alternate Data Stream - 135 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2 @Alternate Data Stream - 105 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:430C6D84 @Alternate Data Stream - 103 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A8ADE5D8 :Commands [purity] [resethosts] [emptytemp] Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________ --> TR/Crypt.XPACK.Gen3 |
15.10.2010, 20:57 | #7 |
| TR/Crypt.XPACK.Gen3 Hallo Arne, anbei das logfile von OTL. Habe den Eindruck, dass der Rechner wieder schneller läuft. |
15.10.2010, 21:39 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Crypt.XPACK.Gen3 Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
16.10.2010, 23:39 | #9 |
| TR/Crypt.XPACK.Gen3 Hallo Arne, anbei nun das logfile von ComboFix |
17.10.2010, 12:38 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Crypt.XPACK.Gen3Code:
ATTFilter FW: Kaspersky Anti-Hacker *enabled* {0BB8CA15-F396-46C7-9A59-108D852CFEC0} FW: ZoneAlarm Firewall *enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B} Ich würde beides umgehend deinstallieren und die Windows-Firewall dafür einschalten. Wenn Du das gemacht hast bitte so fortfahren: Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!! Code:
ATTFilter Filelook:: c:\windows\system32\Crypserv.exe c:\windows\system32\Ckldrv.sys c:\windows\Ckconfig.exe c:\windows\Setup_ck.exe c:\windows\Setup_ck.dll c:\windows\Ckrfresh.exe 4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten |
18.10.2010, 23:22 | #11 |
| TR/Crypt.XPACK.Gen3 Hallo Arne, ich war der Meinung, dass ich das Programm Kaspersky Antihacker längst deinstalliert hatte. Ich finde diesbezüglich keinen Hinweis, weder in der Liste installierter Programme noch wenn ich nach den entsprechenden Begriffen mit der Suchfunktion suchen lasse. Wie bekomme ich das Programm komplett deinstalliert? |
19.10.2010, 08:40 | #12 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Crypt.XPACK.Gen3 Dann igonorier das, wahrscheinlich ist es ein verwaister Eintrag, der noch im Sicherheitscenter ist. Den kriegen wir aber auch weg. Nimm statt dem o.g. einfach das Script für CF: Code:
ATTFilter Seccenter:: FW: Kaspersky Anti-Hacker *enabled* {0BB8CA15-F396-46C7-9A59-108D852CFEC0} Filelook:: c:\windows\system32\Crypserv.exe c:\windows\system32\Ckldrv.sys c:\windows\Ckconfig.exe c:\windows\Setup_ck.exe c:\windows\Setup_ck.dll c:\windows\Ckrfresh.exe
__________________ Logfiles bitte immer in CODE-Tags posten |
24.10.2010, 18:44 | #13 |
| TR/Crypt.XPACK.Gen3 Hallo Arne, sorry hat etwas gedauert. Anbei das log file. Bei der Ausführung wurde ich nicht aufgefordert neu zu starten, stattdessen der Hinweis Combofix läuft im reduzierten Funktionalitätsmodus. Ich habe zwischenzeitlich auch einen Scan mit Avira und Malwarebytes durchgeführt, beide Programme ergeben keinen Fund, wobei bei Avira noch 112 Dateien in Quarantäne stehen. Was ich dabei auch nicht verstehe ist, dass ich diesmal kein log file erhalten habe, nur eine Meldung das der Scan erfolgreich war. |
24.10.2010, 19:56 | #14 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Crypt.XPACK.Gen3Zitat:
Wenn eine Datei schon ausgewerte sein sollte, bitte eine weitere Auswertung starten.
__________________ Logfiles bitte immer in CODE-Tags posten |
25.10.2010, 21:36 | #15 |
| TR/Crypt.XPACK.Gen3 Hallo Arne, anbei die Auswertungen von Virustotal (bin mir nicht sicher, ob es das ist, was Du meintest) |
Themen zu TR/Crypt.XPACK.Gen3 |
antimalware, antivir, antivir meldet, anweisung, avira, avira antivir, c:\windows, combofix, dateien, dringend, durchgeführt, empfehlen, files, forum, herzlichen, log, log files, meldet, problem, quarantäne, scan, temp, tmp, tr/crypt.xpack.ge, tr/crypt.xpack.gen, trojaner, trojaner tr/crypt.xpack.gen, windows, ähnliches |