Antivir meldet Fund: Trojanische Pferd TR/Crypt.XPACK.Gen
 

Hallo Zusammen,

mein Antivir hat mir heute einen vermeintlichen Trojaner-Fund gemeldet:
D:\System Volume Information\_restore{436CC5CA-CD45-45B0-B0E7-F95DD905EE48}\RP248\A0039636.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen


Antivir hat das Ding gleich in Quarantäne verschoben und ich habe mich daran gemacht verschiedene Scanner über mein System laufen zu lassen. Es wurden keine Funde vermeldet. Auch nach Neustart und weiteren Scanns gabs nichts zu melden und keine besonderen Vorkommnisse. Es sieht also bisher so aus, als ob nichts weiter kompromitiert wäre. Allerdings wäre es mir sehr lieb, wenn sich die Log-files nochmal jemand ansehen könnte, der ein wenig davon versteht...

Hier die Logfiles von Antivir/Malwarebites/OTL

Antivir:
(Bitte nicht von der Systemzeit irritieren lassen, die war um einen Tag verstellt)
Malwarebytes:
OTL Extras:

Schonmal im Vorraus vielen vielen Dank für dir Hilfe!! :dankeschoen:

Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
1.
- Lade dir Random's System Information Tool (RSIT) von random/random herunter
- an einen Ort deiner Wahl und führe die rsit.exe aus
- wird "Hijackthis" auch von Rsit installiert und ausgeführt
- RSIT erstellt 2 Logfiles (C:\rsit\log.txt und C:\rsit\info.txt) mit erweiterten Infos von deinem System - diese beide bitte komplett hier posten
**Kannst Du das Log in Textdatei speichern und hier anhängen (auf "Erweitert" klicken)

2.
Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken:
System-Dateien und -Ordner unter XP und Vista sichtbar machen
Am Ende unserer Arbeit, kannst wieder rückgängig machen!

3.
→ Lade Dir HJTscanlist.zip herunter
→ entpacke die Datei auf deinem Desktop
→ Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren
→ per Doppelklick starten
→ Wähle dein Betriebsystem aus - bei Win7 wähle Vista
→ Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen
→ Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren
→ Bitte kopiere den Inhalt hier in Deinen Thread.
** Falls es klappt auf einmal nicht, kannst den Text in mehrere Teile teilen und so posten

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool Ccleaner herunter
→ "Download"→ " Download from FileHippo.com"
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

gruß
Coverflow

Vielen Dank für die rasche Antwort! Hätte nicht gedacht, dass das so schnell geht ;)

Well then:

zu 1: RSIT

info.txtRSIT Logfile:
RSIT Logfile:
Zu 2: bereits gemacht

Zu 3: Hijack Scanlist:
Zu 4: Installationsliste

Wo die Software "Sparwelt gutscheinalarm" hergekommen ist würde mich selber interessieren - Kann mich nicht entsinnen sowas gewollt installiert zu haben...:wtf:

So far...:pfeiff:

Systemreinigung und Prüfung:

1.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked" klicken→ PC neu aufstarten):
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen
2.
den Java-Cache leeren - wie unter Punkt 7. u. 8. beschrieben *klick
über Systemsteuerung -> Java...

3.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
**Der Temp Ordner,ist für temporäre Dateien,also der Inhalt kann man ohne weiteres löschen.- Dateien, die noch in Benutzung sind, nicht löschbar.
**Lösche nur den Inhalt der Ordner, nicht die Ordner selbst!

• `Start → ausführen` "cleanmgr" reinschreiben (ohne "") → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) müssen geleert werden→ "Ok"
• `Start → ausführen` → %temp% reinschreiben (ohne "")→ "Ok" - - Ordnerinhalt überall markieren und löschen
• für jedes Benutzerkonto bitte durchführen
• anschließend den Papierkorb leeren

4.
reinige dein System mit Ccleaner:

• "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

5.
>>Du sollst nicht die Antivirus-Sicherheitssoftware installieren, sondern dein System nur online scannen<<
Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen.
Schließe jetzt alle externe Datenträgeran (USB Sticks etc) Deinen Rechner an, dabei die Hochstell-Taste [Shift-Taste] gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. (So verhindest Du die Ausführung der AUTORUN-Funktion) - Man kann die AUTORUN-Funktion aber auch generell abschalten.► [Sicherheit] Autorun Funktion für mehr Sicherheit auf allen Laufwerken deaktivieren /Avira Support Forum
Führe dann einen Komplett-Systemcheck mit Nod32 durch
- folgendes bitte anhaken > "Remove found threads" und "Scan archives"
- die Scanergebnis als *.txt Dateien speichern)
- meistens "C:\Programme\Eset\EsetOnlineScanner\log.txt"
- "Link:-> ESET Online Scanner
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben

6.
poste erneut - nach der vorgenommenen Reinigungsaktion:
TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

SO, weiter gehts.

Punkte 1-4 sind abgehakt ohne besondere Vorkomnisse

zu 5.: Der Onlinescan hat ewig gedauert (fast 10h) :kaffee: und 6 mögliche Bedrohungen gefunden, die ich aber mit großer Sicherheit allesammt als Falschmeldungen interpretiere.
Alle Dateien stammen aus einem Modding Projekt für das Spiel "Baldurs Gate" und enthalten vermutlich die gleiche Version eines Tools (WEidu), das ua. auch eine Komponente enthällt, mit der es sich selbst updaten kann. Das scheint immer mal wieder eine Trojaner Meldung zu provozieren...
Die Dateien liegen auch schon mindestens ein halbes Jahr unbenutzt auf meiner Platte.
Hatte vor längerem auch schonmal das Antivir bei einem der Mods gemeckert hat, was sich auch entsprechend den Aussagen von Teilnehmern des Glibberlings Forums von denen die Dateien stammen als Falschmeldung entpuppt hat, die immer wieder vorkommt.

Links zum Beleg:
hxxp://www.shsforums.net/topic/44661-big-world-project-bwp-v90/page__st__400
hxxp://forums.gibberlings3.net/index.php?showtopic=19926

Ich hab den Log des ESET Scanners trotzdem mal an den Post angehängt, obwohl es in deiner Anweisung nicht gefordert war.

Zu 6.: Hijack Log

Läuft dein System stabil? Hast du sonst noch Probleme?

Nope, es läuft alles Rund. Keine besonderen Vorkommnisse.
Heißt das die Überprüfung ist durch?!

1.
Programme deinstallieren/entfernen, die wir verwendet haben und nicht brauchst, bis auf:
Die sind nützliche Programme, die bei Probleme/Notfall können sehr hilfreich sein!

2.
Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus
- Alle Passwörter, die auf dem kompromittierten System verwendet wurden (also z.B. Login-, Mail- oder Website-Passwörter, aber auch die PIN für das Online-Banking) sofort ändern (► am besten von einem anderen, nicht-infizierten Rechner aus! )

3.
Zum Schluss, führe den folgenden Schritt aus:
wenn alles gut verlaufen ist und dein System läuft stabil,mache folgendes:
** Rechten Maustaste auf den "Arbeitsplatz"→ auf "Eigenschaften"→ Registerkarte "Systemwiederherstellung"→ "Systemwiederherstellung deaktivieren"→ auf "OK"→ alles schließen→ Rechner neu starten→die Standardeinstellung wiederherzustellen(SWH wieder"aktivieren")

Lesestoff:

• Wie erstelle ich ein eingeschränktes Benutzerkonto?
• Ein sicherer Browser als IE z.B. *Ein Wechsel des Standardbrowsers zu...von SETI@home* [/url] - Firefox - FirefoxWiki/Einstellungen - Erweiterungen für Firefox - Standardbrowser
• Sichere eMail Clients z.B. Thunderbird-->Erweiterungen für Mozilla Thunderbird
• Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 2-3 Monate ändern)
• "Never accept software from strangers" - Installiere grundsätzlich immer nur Programme, die Du auch wirklich benötigst und von denen Du überzeugt bist, dass sie seriös sind.
  -> Bei der Installation immer mitlesen, Sponsoren und Partnerprogramme, Toolbars etc möglichst abwählen!
• NICHT irgendwelche Programme aus dem Netz laden, wenn nicht zu 100% fest steht, dass es sich dabei um saubere Software handelt. Nette Versprechen der Hersteller garantieren noch lange keine einwandfreie Funktionsweise, also vorher blättere die Seiten bei GOOGLE, da kannst Du Dir wertvolle Informationen holen!!!
• Vorsicht bei der Nutzung fremder Computer und anschliessbare Externe Speichermedien wie Festplatte, USB Sticks, Speicherkarten usw![/color][/b] - IT-Betrüger machen keinen Urlaub!/bsi-fuer-buerger.de - auch zeitweise anschließen und scannen lassen (sehe unter `kostenlose Online-Viren-Scanner`)
• Virenscanner
• BSI für Bürger
• SETI@home - [Sicherheit] Sicherheitskonzept
• Entwicklung schädlicher Websites/viruslist.com

wünsch Dir alles Gute:)

Dann sage ich mal vielen herzlichen Dank für die Hilfe und deinen Zeitaufwand!!!!!!!!

:daumenhoc:daumenhoc:daumenhoc

Es ist eine echt wichtige Arbeit, die ihr hier leistet. Gibt glaube ich eine gewisse Sicherheit zurück, dass die ganze Computerwelt nicht nur als Viren und Menschen besteht, die dir ans Geld und an deine Daten wollen ;).

Grüße