Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Crypt.ZPACK.Gen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 09.10.2009, 17:51   #1
siah
 
TR/Crypt.ZPACK.Gen - Standard

TR/Crypt.ZPACK.Gen



Hallo liebe Helferlein

Da ich PC-technisch ein ziemliches Nackerpazerl bin, hoffe ich, dass ihr mir mit nachstehendem Problem helfen könnt.

Seit einigen Tagen meldet AntiVir nach Starten:

C:\WINDOWS\system32\traffic32.dll
Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen

Datei lässt nicht löschen.
Was muss ich machen um den Plagegeist wieder loszuwerden?


Die Programme Cleaner, Malware und RSIT mal abgearbeitet:

Bei Cleaner bleibt bei Registry 1 Fehlerfund totz mehrmaligem wiederholen, wie in eurer Anleitung beschrieben.
Diesen findet er immer wieder, auch wenn bei Fehlber beheben meldet, dass behoben wurde.
Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}


Malware – keine Probleme (uff)

Log Malware: malware.txt


Rsit – info log ist von gestern, log von heute. Lesen sollte man können , hatte es eilig und dachte mist hab gestern vergessen, das log zu speichern zum hochladen und habe daher RSIT heute nochmal gestartet. (Hatte überlesen dass auf c gespeichert wird, und der heute nochmal start hat das log überschrieben). Hoffe das ist kein Problem.

Log Info: info.txt

Log: log.txt


lg
siah

Alt 10.10.2009, 14:19   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.ZPACK.Gen - Standard

TR/Crypt.ZPACK.Gen



Hallo und

Zitat:
Zitat von siah Beitrag anzeigen
C:\WINDOWS\system32\traffic32.dll
Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
Bitte diese Datei hier bei uns hochladen => Anleitung

In der Zwischenzeit schau ich mir mal die Logs an.

Code:
ATTFilter
C:\Programme\Mozilla1.7.8\Mozilla.exe" -turbo
         
Sag nicht, Du verwendest immer noch die mittlerweile uralte Mozilla-Suite?
Die wird längst nicht mehr weiterentwickelt und Du solltest unbedingt auf was aktuelles wie Firefox 3.5 oder Seamonkey umsteigen!!

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
ATTFilter
C:\Programme\DAP\DAPBHO.DLL
         
Lade dir danach Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).
__________________

__________________

Geändert von cosinus (10.10.2009 um 14:27 Uhr)

Alt 10.10.2009, 16:59   #3
siah
 
TR/Crypt.ZPACK.Gen - Standard

TR/Crypt.ZPACK.Gen



Hallo cosinus

Danke für die rasche Antwort und dein Bemühen.

Habe mal deine Liste abgearbeitet:

Die Datei traffic32.dll hochgeladen

Virustotal bringt folgendes Ergebnis zur Datei DAPBHO.dll
Da ich aus dem für mich Buchstabensalat nicht wusste, was da die Prüfsummen sind, gesamtes ergebnis kopiert.

Virustotal meint zur Datei: DAPBHO.txt

Scanbericht Lop: lopR.txt


Zitat:
Sag nicht, Du verwendest immer noch die mittlerweile uralte Mozilla-Suite?
jein, den Browser verwende ich nicht mehr, sondern Firefox, aber das Mailprogramm. Habe Thunderbird einfach ned hinbekommen.

lg
siah
__________________

Alt 11.10.2009, 06:20   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.ZPACK.Gen - Standard

TR/Crypt.ZPACK.Gen



Da ist irgendwas schiefgegangen beim Upload der traffic32.dll, die ist zwar angekommen, aber hat eine Größe von Null Bytes (leere Datei). Versuch doch erstmal die traffic32.dll auch wie die andere Datei bei Virustotal auszuwerten und poste dann wieder die Ergebnisse.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 11.10.2009, 13:16   #5
siah
 
TR/Crypt.ZPACK.Gen - Standard

TR/Crypt.ZPACK.Gen



Hallo cosinus

Habe die Datei bei Vitustoal hochgeladen, kommt nur Meldung:

0 bytes size received / Se ha recibido un archivo vacio

Wenn ich die Datei markiere bekomme ich bei Datails jedoch die Info Grösse 119KB.

lg
siah


Alt 11.10.2009, 13:20   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.ZPACK.Gen - Standard

TR/Crypt.ZPACK.Gen



Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.


Danach:

1.) Lade Dir von hier Avenger als gehweg.exe => File-Upload.net - gehweg.exe auf den Desktop

2.) Doppelklick die Datei "gehweg.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
ATTFilter
Files to delete:
C:\WINDOWS\system32\traffic32.dll
         
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Du hast ein neues Verzeichnis C:\avenger\ - die backup.zip dadrin bitte bei file-upload.net hochladen und hier verlinken.
__________________
--> TR/Crypt.ZPACK.Gen

Alt 11.10.2009, 18:03   #7
siah
 
TR/Crypt.ZPACK.Gen - Standard

TR/Crypt.ZPACK.Gen



Hallo cosinus

Sodale hier mal das Log von Avenger: avenger.txt

und hier noch der link:
File-Upload.net - backup.zip

AntiVir hat auch nix gemeckert nach Neustart. Mal hoffe dass das ein gutes Zeichen ist.

lg
siah

Alt 12.10.2009, 11:11   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.ZPACK.Gen - Standard

TR/Crypt.ZPACK.Gen



Sehr gut, hatte alles geklappt und die Datei wurde ausgewertet: Virustotal. MD5: 2a08b9535f6556109f9fe15e420bdf80 Trojan.Crypt.ZPACK.Gen TR/Crypt.ZPACK.Gen Suspicious File

Eine Mail an die AV-Labs ist raus, da die Datei wohl noch von rel. wenig Scannern erkannt wird.

Mach nun mal bitte einen Durchlauf mit Combofix:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 12.10.2009, 18:03   #9
siah
 
TR/Crypt.ZPACK.Gen - Standard

TR/Crypt.ZPACK.Gen



Guten Abend cosinus

Deine letzten Anweisungen abgearbeitet und hier
das Log von ComboFix: ComboFix.txt

lg
siah

Alt 12.10.2009, 18:14   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.ZPACK.Gen - Standard

TR/Crypt.ZPACK.Gen



Bzgl. der alten Mozilla-Suite solltest Du auf jeden Fall umsteigen. Das Programm ist uralt und enthält viele Lücken! Was hast Du im Thunderbird nicht hinbekommen?

ZoneAlarm solltest Du deinstallieren und stattdessen die Windows-Firewall verwenden - Grund ist, dass Personal Firewalls sich in den TCP-IP-Stack von Windows einklinken und den netzwerkrelevanten Code erheblich vergrößern. Das erhöht die Komplexität und Angriffsfläche des Systems.
Bei der Windows-Firewall ist das anders; sie basiert auf IPSec, ist fest im TCP-IP-Stack von Windows drin, selbst wenn Du sie deaktivierst würde sich nur unwesentlich etwas ändern.

Außerdem ist Deine Systempartition auf FAT32 und nciht auf NTFS formatiert, sollte man ändern, dazu aber mehr später.

Nun müssen wir mit Combofix erstmal scripten:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (Deine XXX mit dem richtigen Namen wieder ersetzen!!)

Code:
ATTFilter
KILLALL::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-

Driver::
mailKmd
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 13.10.2009, 17:36   #11
siah
 
TR/Crypt.ZPACK.Gen - Standard

TR/Crypt.ZPACK.Gen



Servus cosinus

Boah bin mir nimmer sicher woran ich bei Thunderbird gescheitert bin. Glaube aber war beim Account erstellen. Muß ich mir nochmal angucken. (Aber nicht heute, schau ich mir am Weekend in Ruhe an.)

ZoneAlarm habe ich mal deinstalliert.


Und bevor ich jetzt nen Pfusch bau:

Zitat:
2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (Deine XXX mit dem richtigen Namen wieder ersetzen!!)
welche XXX ?

lg
siah

Alt 13.10.2009, 18:10   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.ZPACK.Gen - Standard

TR/Crypt.ZPACK.Gen



Zitat:
Zitat von siah Beitrag anzeigen
welche XXX ?
Das ist nur ein Standardtext, ich hab sowas eigentlich immer stehen, falls da persönliche Pfadangaben stehen bzw. bei diesen persönlichen Pfadangaben aus dem Usernamen zwecks Datenschutz eben drei Sternchen oder XXX wurden.

Kannst Du ignorieren, weil im Script sowas nicht vorkommt.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 14.10.2009, 16:28   #13
siah
 
TR/Crypt.ZPACK.Gen - Standard

TR/Crypt.ZPACK.Gen



Hallo cosinus

Sodale heute ohne Knopf im Hirn ;-)

Hier das Log von Combofix: ComboFix.txt

lg
siah

Alt 14.10.2009, 18:52   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.ZPACK.Gen - Standard

TR/Crypt.ZPACK.Gen



Ok, das dürfte soweit wieder ok sein
Kontrollscans wären aber gut:

Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

2.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade.


Und eben die drei angesprochenen Dinge bzgl:
  • Mozilla-Suite durch Thunderbird ersetzen (Thunderbird müsste alle Einstellungen und Mails importieren können)
  • ZoneAlarm deinstallieren, Windows-Firewall aktivieren
  • Systempartition nach NTFS konvertieren:
1) Start, Ausführen, cmd eintippen und ok
2) Befehl convert c: /fs:ntfs eintippen bestätigen mit Return oder Enter
3) Die aktuelle Bezeichnung von C: eintippen (siehst Du im Arbeitsplatz auf C:, wenn "Lokaler Datenträger" da nur steht, hat C: keine Bezeichnung also nichts eintippen bei aktueller Laufwerksbezeichnung)
4) Hinweis, dass das Laufwerk beim nächsten Windows-Start konvertiert werden soll mit J bestätigen und Windows neustarten lassen, geduldig sein!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 16.10.2009, 18:09   #15
siah
 
TR/Crypt.ZPACK.Gen - Standard

TR/Crypt.ZPACK.Gen



Servus cosinus

Kapersky Onlinescanner steht zur Zeit nicht zur Verfügung. Habe diesen Punkt daher mal gespritzt.

PrevXCSI findet nix

Thunderbird läuft (was auch immer ich anno dazumals ned hinbekommen habe, diesmal gleich geschafft, dass tut was ich will)

Mozilla Suite und ZoneAlarm gemistkübelt

C nach NTFS konvertiert (nach deinem Hinweis geduldig sein, war ich drauf eingestellt, dass das ewig dauert und war überrascht, dass nur ca. 15 min gebraucht hat)

lg
siah

Antwort

Themen zu TR/Crypt.ZPACK.Gen
anleitung, antivir, beheben, cleaner, gespeichert, immer wieder, malware, melde, meldet, pferd, problem, probleme, programme, registry, rsit, speicher, speichern, starte, starten, system, system32, tr/crypt.zpack.gen, traffic, trojanische, trojanische pferd, windows



Ähnliche Themen: TR/Crypt.ZPACK.Gen


  1. TR/Crypt.ZPACK.*, TR.Crypt.XPACK.*, nicht gefundene AdWare
    Log-Analyse und Auswertung - 12.11.2015 (10)
  2. Troj.TR/Crypt.Zpack.151493+Troj.TR/Crypt.Xpack.138980 entfernen+daten entschlüsseln
    Log-Analyse und Auswertung - 27.08.2015 (27)
  3. TR/Crypt.Zpack.96184 und TR/Crypt.Zpack.96450 entgültig entfernt?
    Plagegeister aller Art und deren Bekämpfung - 14.09.2014 (13)
  4. Vermute TR/Crypt.ZPACK.47328 und TR/Crypt.ZPACK.56424 auf dem Rechner
    Log-Analyse und Auswertung - 12.05.2014 (10)
  5. avira findet : tr/crypt.zpack.36522 ,tr/crypt.xpack.gen ,adware/installcore.gen
    Plagegeister aller Art und deren Bekämpfung - 06.01.2014 (4)
  6. AntiVir hat folgede Viren gefunden: TR/Crypt.ZPACK.Gen2' & 'TR/Crypt.XPACK.Gen5' [trojan
    Plagegeister aller Art und deren Bekämpfung - 26.09.2012 (33)
  7. TR/Crypt.XPACK.Gen5, TR/Crypt.ZPACK.Gen2, TR/Fake.Rean.3394, TR/PSW.Fareit.A.64
    Plagegeister aller Art und deren Bekämpfung - 19.12.2011 (30)
  8. TR/Crypt.XPACK.Gen und TR/Crypt.ZPACK.Gen2 gefunden PC extrem langsam
    Log-Analyse und Auswertung - 19.10.2011 (8)
  9. TR/Crypt.ZPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 07.01.2011 (33)
  10. TR/Dldr.Wintrim.BX.52, TR/Crypt.ZPACK.Gen, TR/Crypt.PEPM.Gen, ADWARE/Adware.Gen - ich brauche Hilfe.
    Plagegeister aller Art und deren Bekämpfung - 02.12.2010 (8)
  11. Kurze Fragen zu TR/Crypt.XPACK.Gen + TR/Crypt.ZPACK.Gen + Avira Scan
    Plagegeister aller Art und deren Bekämpfung - 02.12.2010 (3)
  12. W32/Induc.A, TR/Dropper.Gen, TR/Crypt.ZPACK.Gen, TR/Crypt.XPACK.Gen3 gefunden - wie entfernen
    Plagegeister aller Art und deren Bekämpfung - 01.12.2010 (5)
  13. TR/dldr.swizzor.gen2, TR/crypt.xpack.gen, TR/crypt.zpack.gen unter Windows XP
    Plagegeister aller Art und deren Bekämpfung - 16.06.2010 (15)
  14. AntiVir: TR/Crypt.XDR.Gen & TR/Crypt.ZPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 02.02.2010 (1)
  15. 3 Trojaner: TR/FraudPack.240128 TR/Crypt.XPACK.Gen TR/Crypt.ZPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 10.01.2010 (1)
  16. Computer infiziert: Crypt.ZPACK.Gen, Vundo.Gen (3mal), Crypt.ZPACK.Gen, Alureon.CZ
    Log-Analyse und Auswertung - 25.12.2009 (11)
  17. Trojaner TR/Crypt.ASPM.Gen und TR/Crypt.ZPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 25.10.2009 (4)

Zum Thema TR/Crypt.ZPACK.Gen - Hallo liebe Helferlein Da ich PC-technisch ein ziemliches Nackerpazerl bin, hoffe ich, dass ihr mir mit nachstehendem Problem helfen könnt. Seit einigen Tagen meldet AntiVir nach Starten: C:\WINDOWS\system32\traffic32.dll Ist das - TR/Crypt.ZPACK.Gen...
Archiv
Du betrachtest: TR/Crypt.ZPACK.Gen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.