Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Mal wieder TR/Crypt.XPACK.Gen - legt Malwarebytes und Netzwerkadapter lahm.

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 07.10.2011, 01:53   #1
CharleyB
 
Mal wieder TR/Crypt.XPACK.Gen - legt Malwarebytes und Netzwerkadapter lahm. - Standard

Mal wieder TR/Crypt.XPACK.Gen - legt Malwarebytes und Netzwerkadapter lahm.



Hallo!

Es geht mal wieder um TR/Crypt.XPACK.Gen... Ich finde im Forum leider keine passende Lösung für mein Problem. Ich hatte bereits vor Monaten Probleme mit diesem Trojaner - immer in Kombination mit anderen wie z.B. KAZY - seit Anfang Mai aber war Ruhe. Gestern abend hat sich TR/Crypt.XPACK.Gen schließlich über meinen Avira Scanner wieder gemeldet. Lokalisiert wurde eine Datei namens C:\WINDOWS\156629787:3825511158.exe, die diesen Trojaner enthalten soll. Ebenso zwei ähnliche Dateien im RECYCLER. Wurden von Avira in Quarantäne verschoben - offenbar erfolglos. Die Datei wird immer wieder aufgefunden. Die einzige Möglichkeit ist dann, die Guard-Funktion des Virenscanners vorläufig abzuschalten bzw. den Suchlauf abzubrechen, sonst startet Avira ständig einen neuen Durchgang.

Ich habe nach der obligatorischen Datensicherung bereits verschiedenes versucht (alles natürlich im abgesicherten Modus), um die Datei zu deaktivieren, damit sie anschließend auch wirklich gelöscht werden kann. Manuell löschen und anschließend auch C:\WINDOWS\Prefetch löschen war erfolglos - wahrscheinlich genau aus demselben Grund. Die Datei als im Taskmanager angezeigten Prozess zu beenden, war auch erfolglos, kurzum Avira konnte anschließend auch nicht mehr machen. Letzter Versuch: In der Registry nach der Datei gesucht und auf der linken Seite für das entsprechende Verzeichnis Berechtigung für "Vollzugriff" und "Lesen" verweigert - "Spezialzugriff" ließ sich jedoch weder aktivieren noch deaktivieren. Hat aber auch nichts gebracht. (Oder hätte ich die Zugriffsrechte woanders verweigern müssen?=

Hier ist jedenfalls mal der letzte Log meines Avira Systemscans:
------------------------------------------------------------------------
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Donnerstag, 6. Oktober 2011 23:27

Es wird nach 3362431 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Abgesicherter Modus mit Netzwerk Support
Benutzername : Nutzer
Computername : NUTZER-E2FDC1BE

Versionsinformationen:
BUILD.DAT : 12.0.0.849 41825 Bytes 23.09.2011 19:12:00
AVSCAN.EXE : 12.1.0.17 490448 Bytes 23.09.2011 16:04:42
AVSCAN.DLL : 12.1.0.17 65744 Bytes 23.09.2011 11:32:56
LUKE.DLL : 12.1.0.17 68304 Bytes 23.09.2011 10:55:16
AVSCPLR.DLL : 12.1.0.19 99536 Bytes 23.09.2011 10:02:36
AVREG.DLL : 12.1.0.20 227024 Bytes 23.09.2011 09:54:29
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 15:08:51
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 10:00:55
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 10:18:22
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 12:12:53
VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 07:26:09
VBASE007.VDF : 7.11.15.106 2389504 Bytes 05.10.2011 21:10:40
VBASE008.VDF : 7.11.15.107 2048 Bytes 05.10.2011 21:10:41
VBASE009.VDF : 7.11.15.108 2048 Bytes 05.10.2011 21:10:43
VBASE010.VDF : 7.11.15.109 2048 Bytes 05.10.2011 21:10:44
VBASE011.VDF : 7.11.15.110 2048 Bytes 05.10.2011 21:10:45
VBASE012.VDF : 7.11.15.111 2048 Bytes 05.10.2011 21:10:47
VBASE013.VDF : 7.11.15.112 2048 Bytes 05.10.2011 21:10:49
VBASE014.VDF : 7.11.15.113 2048 Bytes 05.10.2011 21:10:50
VBASE015.VDF : 7.11.15.114 2048 Bytes 05.10.2011 21:10:51
VBASE016.VDF : 7.11.15.115 2048 Bytes 05.10.2011 21:10:53
VBASE017.VDF : 7.11.15.116 2048 Bytes 05.10.2011 21:10:55
VBASE018.VDF : 7.11.15.117 2048 Bytes 05.10.2011 21:10:56
VBASE019.VDF : 7.11.15.118 2048 Bytes 05.10.2011 21:10:58
VBASE020.VDF : 7.11.15.119 2048 Bytes 05.10.2011 21:10:59
VBASE021.VDF : 7.11.15.120 2048 Bytes 05.10.2011 21:11:00
VBASE022.VDF : 7.11.15.121 2048 Bytes 05.10.2011 21:11:02
VBASE023.VDF : 7.11.15.122 2048 Bytes 05.10.2011 21:11:04
VBASE024.VDF : 7.11.15.123 2048 Bytes 05.10.2011 21:11:06
VBASE025.VDF : 7.11.15.124 2048 Bytes 05.10.2011 21:11:07
VBASE026.VDF : 7.11.15.125 2048 Bytes 05.10.2011 21:11:08
VBASE027.VDF : 7.11.15.126 2048 Bytes 05.10.2011 21:11:10
VBASE028.VDF : 7.11.15.127 2048 Bytes 05.10.2011 21:11:12
VBASE029.VDF : 7.11.15.128 2048 Bytes 05.10.2011 21:11:13
VBASE030.VDF : 7.11.15.129 2048 Bytes 05.10.2011 21:11:15
VBASE031.VDF : 7.11.15.135 91136 Bytes 05.10.2011 21:11:20
Engineversion : 8.2.6.76
AEVDF.DLL : 8.1.2.1 106868 Bytes 01.09.2011 21:46:02
AESCRIPT.DLL : 8.1.3.81 467322 Bytes 05.10.2011 21:12:29
AESCN.DLL : 8.1.7.2 127349 Bytes 01.09.2011 21:46:02
AESBX.DLL : 8.2.1.34 323957 Bytes 01.09.2011 21:46:02
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06
AEPACK.DLL : 8.2.10.11 684408 Bytes 22.09.2011 14:18:45
AEOFFICE.DLL : 8.1.2.15 201083 Bytes 15.09.2011 23:17:25
AEHEUR.DLL : 8.1.2.175 3731831 Bytes 05.10.2011 21:12:22
AEHELP.DLL : 8.1.17.7 254327 Bytes 01.09.2011 21:46:01
AEGEN.DLL : 8.1.5.9 401780 Bytes 01.09.2011 21:46:01
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 21:46:01
AECORE.DLL : 8.1.23.0 196983 Bytes 01.09.2011 21:46:01
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01
AVWINLL.DLL : 12.1.0.17 27344 Bytes 23.09.2011 10:13:17
AVPREF.DLL : 12.1.0.17 51920 Bytes 23.09.2011 09:53:56
AVREP.DLL : 12.1.0.17 179408 Bytes 23.09.2011 09:55:01
AVARKT.DLL : 12.1.0.17 223184 Bytes 23.09.2011 09:25:26
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 23.09.2011 09:34:36
SQLITE3.DLL : 3.7.0.0 398288 Bytes 16.09.2011 00:05:58
AVSMTP.DLL : 12.1.0.17 62928 Bytes 23.09.2011 10:03:46
NETNT.DLL : 12.1.0.17 17104 Bytes 23.09.2011 10:58:06
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 23.09.2011 11:37:24
RCTEXT.DLL : 12.1.0.16 98512 Bytes 23.09.2011 11:37:22

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Donnerstag, 6. Oktober 2011 23:27

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
Der Treiber konnte nicht initialisiert werden.
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '113' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess '156629787:3825511158.exe' - '3' Modul(e) wurden durchsucht
Modul ist infiziert -> <C:\WINDOWS\156629787:3825511158.exe>
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Prozess '156629787:3825511158.exe' wurde beendet
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[WARNUNG] Der Treiber konnte nicht initialisiert werden.
Durchsuche Prozess 'lsass.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\RECYCLER\S-1-5-21-1715567821-1993962763-725345543-1003\Dc1059:3825511158.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
C:\RECYCLER\S-1-5-21-1715567821-1993962763-725345543-1003\Dc983:3825511158.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
C:\RECYCLER\S-1-5-21-1715567821-1993962763-725345543-1003\Dc980\mbam.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!

Beginne mit der Desinfektion:
C:\RECYCLER\S-1-5-21-1715567821-1993962763-725345543-1003\Dc983:3825511158.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '54b1a1ee.qua' verschoben!
C:\RECYCLER\S-1-5-21-1715567821-1993962763-725345543-1003\Dc1059:3825511158.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[HINWEIS] Eine Instanz der ARK Library läuft bereits.
[HINWEIS] Die Datei wurde zum Löschen nach einem Neustart markiert.
[HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
--------------------------------------------------------------------------

Erschwerend kommt nun noch das Folgende hinzu:

1. Ich habe das Problem im Mai im Wesentlichen mit Malwarebytes in Griff bekommen incl. dem anschließenden manuellen Löschen eines entsprechenden Registry-Eintrags. Das gleiche wollte ich gestern wieder probieren, aber Malwarebytes hat sich nach wenigen Sekunden "aufgehängt". Will ich das Programm neu starten, erscheint die Windows-Fehlermeldung, dass mir Zugriffsrechte auf die Datei oder das Programm fehlen. Ich habe gestern bereits eine Neuinstallation gestartet, einmal auf der infizierten Festplatte und einmal auf einer externen Festplatte, aber in beiden Fällen hängt sich das Programm bereits beim Checken der Registrierungseinträge in der ersten Minute auf und lässt sich dann nicht mehr starten. Augenblicklich bin ich dabei, mir Knoppix und Combofix runterzuladen, befürchte aber, dass hier ähnliche Probleme auftreten werden. Evt. blockiert der Trojaner den Zugriff auf solche Programme?

2. Ansonsten erkennt mein Rechner seit gestern abend auch keine Netzwerk-Adapter mehr. Internet ist also lahm gelegt. Beim Anklicken des Verbindungssymbols in der Leiste wird mir per Windows-Fehlermeldung mitgeteilt, dass die wireless software angeblich keinen drahtlosen Adapter finden könne, der de facto aber physisch vorhanden ist. Gleiches gilt für meinen UMTS-Stick. Die entsprechende Software findet angeblich die passende Hardware nicht mehr.

So - ich hoffe, die Infos genügen fürs Erste, um sagen zu können, ob format C: wirklich notwendig ist (ultima ratio, denn meinen Rechner wieder in dieser Form zu rekonstruieren, kostet mich locker eine Woche...) oder ob sich der Trojaner sicher entfernen lässt und die damit zusammenhängenden Fehler beheben. Ich bin ein Computer-Laie, d.h. bereit, mich in diese Dinge einzulesen, aber unvertraut mit den meisten Fachbegriffen. In der Registry pfusche ich also beispielsweise nur herum, wenn ich eine haargenaue und idiotinnensichere Schritt-für-Schritt-Anleitung habe...

Ich hoffe auf Eure baldige Hilfe, denn ich stehe - wie das bei so Dingen ja immer der Fall ist - drei Wochen vor einem Examen und brauche meinen Rechner eigentlich von morgens bis abends...

Gruß und danke schonmal vorab,
Charley

Alt 07.10.2011, 10:43   #2
markusg
/// Malware-holic
 
Mal wieder TR/Crypt.XPACK.Gen - legt Malwarebytes und Netzwerkadapter lahm. - Standard

Mal wieder TR/Crypt.XPACK.Gen - legt Malwarebytes und Netzwerkadapter lahm.



also, du hast ein rootkit auf dem system, name zero access bzw max++
machst du onlinebanking einkäufe oder sonst was wichtiges mit diesem pc?
ich würde auf jeden fall dazu raten, das system neu aufzusetzen und abzusichern, da du ja sagtest, du hast häufiger mit malware zu tun, ist an deiner sicherheitsstrategie etwas grundlegendes falsch.
ist keine beleidigung, nur ein zustand den du dringenst endern solltest und was mit einfachen mitteln auch möglich ist.
ein system, welches häufig infiziert wird, ist nicht mehr vertrauenswürdig, da jede malware weitere hintertüren ins system reißen kann, die neu infektionen erleichtern.
__________________

__________________

Antwort

Themen zu Mal wieder TR/Crypt.XPACK.Gen - legt Malwarebytes und Netzwerkadapter lahm.
anfang, avira, blockiert, combofix, desktop, entfernen, fehler, festplatte, internet, locker, netzwerk, nt.dll, prefetch, programm, programm neu starten, prozess, prozesse, registry, scan, sekunden, services.exe, software, starten, svchost.exe, taskmanager, tr/crypt.xpack.ge, tr/crypt.xpack.gen, trojaner, virus gefunden, warnung, windows



Ähnliche Themen: Mal wieder TR/Crypt.XPACK.Gen - legt Malwarebytes und Netzwerkadapter lahm.


  1. Avira meldet Fund: 'TR/Crypt.XPACK.Gen2, Malwarebytes findet PUP.Optional.OpenCandy. Was tun?
    Plagegeister aller Art und deren Bekämpfung - 21.05.2014 (14)
  2. Mein Avastvirenscan legt nach ca 30 Minuten Rechner immer wieder lahm
    Plagegeister aller Art und deren Bekämpfung - 12.05.2013 (5)
  3. Der Metz wieder: live security platinum legt Rechner Lahm
    Plagegeister aller Art und deren Bekämpfung - 10.09.2012 (9)
  4. TR/Crypt.XPACK.Gen2 unter SysVolInf kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 29.08.2012 (3)
  5. TR/Crypt.XPACK.Gen, TR/Jorik.Mokes.aqd von Avira gefunden. Wie werde ich sie wieder los?
    Plagegeister aller Art und deren Bekämpfung - 02.08.2012 (17)
  6. Trojaner TR/crypt-xpack.gen3 Auswertung Logfiles nach Bearbeitung durch Malwarebytes
    Log-Analyse und Auswertung - 31.03.2012 (10)
  7. TR/Crypt.XPACK.Gen legt PC komplett lahm
    Log-Analyse und Auswertung - 30.03.2012 (20)
  8. wie werde ich TR/Crypt.XPACK.Gen wieder los?
    Log-Analyse und Auswertung - 27.10.2011 (10)
  9. schon wieder Trojaner TR/Crypt.XPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 07.04.2011 (5)
  10. Dropper.Gen und Crypt.XPACK.Gen 3 tauchen immer wieder auf
    Plagegeister aller Art und deren Bekämpfung - 10.10.2010 (3)
  11. TR/Crypt.XPACK.Gen3 und: Malwarebytes funktioniert bei mir nicht!!!
    Plagegeister aller Art und deren Bekämpfung - 10.10.2010 (4)
  12. TR/Crypt.XPACK.Gen System wieder sauber?
    Log-Analyse und Auswertung - 22.12.2009 (7)
  13. Mal wieder ein: 'TR/Crypt.XPACK.Gen'
    Plagegeister aller Art und deren Bekämpfung - 08.03.2009 (7)
  14. TR/Vundo.Gen und TR/crypt.xpack.gen , wie bekomme ich beides wieder los?
    Plagegeister aller Art und deren Bekämpfung - 11.08.2008 (1)
  15. TR/Vundo.Gen und TR/crypt.xpack.gen , wie bekomme ich beides wieder los?
    Mülltonne - 11.08.2008 (0)
  16. TR/Crypt.XPACK.gen wird von AV erkannt, taucht aber immer wieder auf. Hier der Log...
    Log-Analyse und Auswertung - 09.06.2008 (5)
  17. Immer wieder TR/Crypt.XPACK.Gen und andere Attaken!
    Plagegeister aller Art und deren Bekämpfung - 30.01.2008 (1)

Zum Thema Mal wieder TR/Crypt.XPACK.Gen - legt Malwarebytes und Netzwerkadapter lahm. - Hallo! Es geht mal wieder um TR/Crypt.XPACK.Gen... Ich finde im Forum leider keine passende Lösung für mein Problem. Ich hatte bereits vor Monaten Probleme mit diesem Trojaner - immer in - Mal wieder TR/Crypt.XPACK.Gen - legt Malwarebytes und Netzwerkadapter lahm....
Archiv
Du betrachtest: Mal wieder TR/Crypt.XPACK.Gen - legt Malwarebytes und Netzwerkadapter lahm. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.