Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: TR/Crypt.XPACK.Gen - wie werde ich den los?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 31.01.2009, 18:48   #1
Hubertine
 
TR/Crypt.XPACK.Gen - wie werde ich den los? - Standard

TR/Crypt.XPACK.Gen - wie werde ich den los?



Liebe Leute,

AntiVir meldet mir, dass ich einen Trojaner habe: TR/Crypt.XPACK.Gen. Leider setzt dieser alle Virenprogramme außer Gefecht, und ich weiß nicht, wie ich ihn loswerden kann.

Hier der Logfile von HijackThis:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:28:44, on 31.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

--
End of file - 3409 bytes
         
Ich würde mich sehr freuen, wenn Ihr mir helfen könntet.

Vielen Dank und freundliche Grüße
Hubi

Alt 31.01.2009, 20:32   #2
schrauber
/// the machine
/// TB-Ausbilder
 

TR/Crypt.XPACK.Gen - wie werde ich den los? - Standard

TR/Crypt.XPACK.Gen - wie werde ich den los?



hi,

ich trau mich jetzt einfach mal

wo wurde denn der virus gefunden?
__________________

__________________

Alt 31.01.2009, 20:48   #3
Hubertine
 
TR/Crypt.XPACK.Gen - wie werde ich den los? - Standard

TR/Crypt.XPACK.Gen - wie werde ich den los?



Hallo,
danke für die Rückmeldung. Leider kann ich mich nicht mehr wirklich erinnern, welche Dateien befallen waren - ich weiß nur noch, dass AntiVir gemeldet hat, der Trojaner sei in temporären Dateien gefunden worden. Das hilft wahrscheinlich nicht so richtig, oder?
Grüße
Hubertine
__________________

Alt 31.01.2009, 21:13   #4
_c0de_
 
TR/Crypt.XPACK.Gen - wie werde ich den los? - Standard

TR/Crypt.XPACK.Gen - wie werde ich den los?



Hast du Malwarebytes schon durchsuchen lassen ?
Oder Spybot ?

Leere mal den Temp-Ordner.
__________________
95% aller PC-Probleme sitzen vor dem Bildschirm.

Alt 01.02.2009, 11:42   #5
Hubertine
 
TR/Crypt.XPACK.Gen - wie werde ich den los? - Standard

TR/Crypt.XPACK.Gen - wie werde ich den los?



Hallo,
nachdem Malwarebytes keine bösartigen Objekte gefunden hat, habe ich AntiVir reinstalliert, was zwar von Fehlermeldungen begleitet wurde, aber trotzdem irgendwie geklappt hat.
Nach dem Suchlauf kam zuletzt die Meldung: "Beim Laden des Moduls (aecore.dll) ist folgender Fehler aufgetreten: Definitionsdatei (.VDF) ist zerstört!"
Den Report des Suchlaufs, den ich kurz zuvor beendet hatte, stelle ich hier ein:

Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 1. Februar 2009  12:19

Es wird nach 1302306 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:   (Service Pack 3)  [5.1.2600]
Boot Modus:       Normal gebootet
Benutzername:     SYSTEM
Computername:     IOIWFXTYOV49AKC

Versionsinformationen:
BUILD.DAT     : 8.2.0.337      16934 Bytes  18.11.2008 13:01:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  18.11.2008 08:21:23
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  09.05.2008 11:27:06
LUKE.DLL      : 8.1.4.5       164097 Bytes  12.06.2008 12:44:16
LUKERES.DLL   : 8.1.4.0        12545 Bytes  09.05.2008 11:40:42
ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  27.10.2008 11:30:36
ANTIVIR1.VDF  : 7.1.1.113    2817536 Bytes  14.01.2009 11:16:22
ANTIVIR2.VDF  : 7.1.1.207    1359360 Bytes  30.01.2009 11:16:30
ANTIVIR3.VDF  : 7.1.1.208       2048 Bytes  30.01.2009 11:16:30
Engineversion : 8.2.0.70  
AEVDF.DLL     : 8.1.1.0       106868 Bytes  01.02.2009 11:16:42
AESCRIPT.DLL  : 8.1.1.39      344443 Bytes  01.02.2009 11:16:41
AESCN.DLL     : 8.1.1.6       127348 Bytes  01.02.2009 11:16:40
AERDL.DLL     : 8.1.1.3       438645 Bytes  04.11.2008 13:58:38
AEPACK.DLL    : 8.1.3.5       393588 Bytes  01.02.2009 11:16:39
AEOFFICE.DLL  : 8.1.0.33      196987 Bytes  01.02.2009 11:16:38
AEHEUR.DLL    : 8.1.0.89     1569143 Bytes  01.02.2009 11:16:36
AEHELP.DLL    : 8.1.2.0       119159 Bytes  01.02.2009 11:16:33
AEGEN.DLL     : 8.1.1.12      328053 Bytes  01.02.2009 11:16:32
AEEMU.DLL     : 8.1.0.9       393588 Bytes  14.10.2008 10:05:56
AECORE.DLL    : 8.1.6.3       176501 Bytes  01.02.2009 11:16:31
AEBB.DLL      : 8.1.0.3        53618 Bytes  14.10.2008 10:05:56
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  09.07.2008 08:40:02
AVPREF.DLL    : 8.0.2.0        38657 Bytes  16.05.2008 09:27:58
AVREP.DLL     : 8.0.0.2        98344 Bytes  31.07.2008 12:02:15
AVREG.DLL     : 8.0.0.1        33537 Bytes  09.05.2008 11:26:37
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12.02.2008 08:29:19
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  12.06.2008 12:27:46
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  22.01.2008 17:28:02
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  12.06.2008 12:49:36
NETNT.DLL     : 8.0.0.1         7937 Bytes  25.01.2008 12:05:07
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  12.06.2008 13:45:01
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: C:\Programme\Avira\AntiVir PersonalEdition Classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, 
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Sonntag, 1. Februar 2009  12:19

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ltmoh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AGRSMMSG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VTTrayp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VTTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '27' Prozesse mit '27' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '51' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\...\Desktop\vpnclient-win-msi-5.0.04.0300-k9.exe
    [0] Archivtyp: ZIP SFX (self extracting)
      --> instmsiw.exe
        [1] Archivtyp: RSRC
        --> Object
          [2] Archivtyp: CAB (Microsoft)
          --> imagehlp.dll
            [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CDYFK9AR\swflash[1].cab
    [0] Archivtyp: CAB (Microsoft)
      --> FP_AX_CAB_INSTALLER.exe
        [1] Archivtyp: NSIS
        --> [UnknownDir]/FlashUtil10a.exe
          [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\WINDOWS\PCHealth\HelpCtr\PackageStore\package_3.cab
    [0] Archivtyp: CAB (Microsoft)
    --> icon_warning_32x.gif
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\WINDOWS\ServicePackFiles\i386\sp3.cab
    [0] Archivtyp: CAB (Microsoft)
    --> uagp35.sys
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Beginne mit der Suche in 'D:\' <DATEN>


Ende des Suchlaufs: Sonntag, 1. Februar 2009  12:31
Benötigte Zeit: 12:08 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   1474 Verzeichnisse wurden überprüft
  80769 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
  80768 Dateien ohne Befall
    481 Archive wurden durchsucht
      5 Warnungen
      0 Hinweise
         
Ich hoffe, darin findet sich irgendein nützlicher Hinweis. Für Eure Hilfe wäre ich Euch sehr dankbar.
Viele Grüße
Hubertine


Alt 01.02.2009, 13:18   #6
Rex Fatuorum
Gesperrt
 
TR/Crypt.XPACK.Gen - wie werde ich den los? - Standard

TR/Crypt.XPACK.Gen - wie werde ich den los?



In der hiesigen FAQ Sektion gibt es eine Anleitung wie "Antivir" richtig bzw.scharf einzustellen wäre.
Diese nutzt du und läßt dann nach einem Update einen Vollscan im abgesicherten Modus machen.Ergebnisse von Funden postest du hier bitte.
Ich will an eine Gefährdung noch nicht so recht glauben....
Rex

Antwort

Themen zu TR/Crypt.XPACK.Gen - wie werde ich den los?
adobe, bho, button, dateien, excel, explorer, google, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, loswerden, messenger, micro, microsoft, programme, software, sp3, system, system32, tr/crypt.xpack.ge, tr/crypt.xpack.gen, tr/crypt.xpack.gen., trojaner, windows, windows xp



Ähnliche Themen: TR/Crypt.XPACK.Gen - wie werde ich den los?


  1. avira findet : tr/crypt.zpack.36522 ,tr/crypt.xpack.gen ,adware/installcore.gen
    Plagegeister aller Art und deren Bekämpfung - 06.01.2014 (4)
  2. TR/Crypt.XPACK.Gen, TR/Jorik.Mokes.aqd von Avira gefunden. Wie werde ich sie wieder los?
    Plagegeister aller Art und deren Bekämpfung - 02.08.2012 (17)
  3. TR/Crypt.EPACK.Gen8, TR/Crypt.XPACK.Gen, TR/Vcaredrix.A.3 und einige EXP/CVE-xx, EXP/2010-xx Viren.
    Plagegeister aller Art und deren Bekämpfung - 26.07.2012 (7)
  4. TR/Crypt.XPACK.Gen, TR/Sirefef.BV.2, TR/Crypt.XPACK.Gen3, TR/PSW.Karagany.A.73
    Plagegeister aller Art und deren Bekämpfung - 15.02.2012 (2)
  5. wie werde ich TR/Crypt.XPACK.Gen wieder los?
    Log-Analyse und Auswertung - 27.10.2011 (10)
  6. TR/Crypt.XPACK.Gen und TR/Crypt.ZPACK.Gen2 gefunden PC extrem langsam
    Log-Analyse und Auswertung - 19.10.2011 (8)
  7. Kurze Fragen zu TR/Crypt.XPACK.Gen + TR/Crypt.ZPACK.Gen + Avira Scan
    Plagegeister aller Art und deren Bekämpfung - 02.12.2010 (3)
  8. W32/Induc.A, TR/Dropper.Gen, TR/Crypt.ZPACK.Gen, TR/Crypt.XPACK.Gen3 gefunden - wie entfernen
    Plagegeister aller Art und deren Bekämpfung - 01.12.2010 (5)
  9. TR/Crypt.XPACK.Gen3 - nach formatierung von C: TR/Crypt.XPACK.Gen2 gefunden
    Plagegeister aller Art und deren Bekämpfung - 17.10.2010 (9)
  10. TR/Crypt.XPACK.Gen3, TR/Crypt.XPACK.Gen2
    Plagegeister aller Art und deren Bekämpfung - 10.10.2010 (4)
  11. Befall mit TR/Crypt.XPACK.Gen und TR/Crypt.XPACK.Gen3
    Plagegeister aller Art und deren Bekämpfung - 21.09.2010 (23)
  12. TR/Dropper.gen und TR/Crypt.XPACK.Gen und TR/Crypt.XPACK.Gen2 und TR/Dldr.Agent.cxyf.3
    Plagegeister aller Art und deren Bekämpfung - 29.07.2010 (32)
  13. tr\crypt.xpack.gen2 und tr\crypt.xpack.gen
    Plagegeister aller Art und deren Bekämpfung - 29.07.2010 (4)
  14. TR/dldr.swizzor.gen2, TR/crypt.xpack.gen, TR/crypt.zpack.gen unter Windows XP
    Plagegeister aller Art und deren Bekämpfung - 16.06.2010 (15)
  15. Massives Trojaner Problem TR/Crypt.XPACK.Gen TR/dropper.Gen TR/Crypt.ASPM.Gen
    Plagegeister aller Art und deren Bekämpfung - 21.03.2010 (1)
  16. Heftiger Trojaner Befall Crypt.XPACK.Gen/Click.YABECTOR.B.1/ Crypt.PEPM.Gen
    Log-Analyse und Auswertung - 28.12.2009 (1)
  17. TR/Crypt.XPACK.Gen -ich werde den nicht los!
    Log-Analyse und Auswertung - 27.09.2007 (7)

Zum Thema TR/Crypt.XPACK.Gen - wie werde ich den los? - Liebe Leute, AntiVir meldet mir, dass ich einen Trojaner habe: TR/Crypt.XPACK.Gen. Leider setzt dieser alle Virenprogramme außer Gefecht, und ich weiß nicht, wie ich ihn loswerden kann. Hier der Logfile - TR/Crypt.XPACK.Gen - wie werde ich den los?...
Archiv
Du betrachtest: TR/Crypt.XPACK.Gen - wie werde ich den los? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.