Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: TR/Crypt.XPACK.Gen und "Windows System Defender"

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 12.11.2009, 00:14   #1
saku
 
TR/Crypt.XPACK.Gen und "Windows System Defender" - Standard

TR/Crypt.XPACK.Gen und "Windows System Defender"



Hallo,

da sich hier in diesem Forum einige Leute recht gut auszukennen scheinen, will ich mal meinen aktuellen Fall schildern:

Es geht um den Laptop meiner Freundin. Sie benutzt AntiVir und bekam neulich beim Surfen (Facebook, glaube ich) eine Meldung über den Trojaner namens TR/Crypt.XPACK.Gen bei der Datei cmaxorswen.tmp. Gleich mehrfach nacheinander. Haben die betroffene Datei(en) in Quarantäne geschoben und erstmal gegoogelt.

Irgendwo wurde empfohlen, ein bestimmtes Windowsupdate zu installieren, habe mir aber leider nicht notiert, welches. Also habe ich erstmal versucht, die fehlenden Updates nachzuholen. Ohoh, war das vielleicht ein Fehler? Könnte es sein, dass der Eindringling absichtlich eine falsche Fährte gelegt und mich statt auf den Windows-Server auf einen eigenen umgeleitet hat?

Nach der Installation der Updates habe ich erstmal den Rechner vom Netzwerk getrennt und einen Festplattenscan durchgeführt. Beim darauf folgenden Neustart kam dann nur noch ein blue screen. Ich hab ihn abfotographiert:


Anschließend hab zunächst die Boot-CD von AntiVir ausprobiert. Leider hatte die irgendwie ne Macke, das graphische Interface hat nicht funktioniert. Also auch noch die KnoppiCillin-CD. Ich konnte so mehrere infizierte Dateien entfernen, Booten war aber immernoch nicht möglich. Da ich vermutete, es läge am MBR, habe ich diesen über die XP-CD und fixmbr neu geschrieben. Der blue screen verschwand nun auch, allerdings kamen jetzt Meldungen über fehlende dlls.

Nachdem das Kopieren von hal.dll von einem anderen System, wie es irgendwo vorgeschlagen wurde, nicht half, versuchte ich es mit einer Reparaturinstallation. Und siehe da - Windows startete wieder. Allerdings war das System offenbar immernoch schwer infiziert: Der Taskmanager ging nicht, Antivir war lahmgelegt, und ein mysteriöses Programm namens Windows System Defender war auf einmal aufgetaucht. Offenbar versuchte es, Verbindung zu einem russischen Server aufzunehmen, wie ich aus einigen Meldungen entnahm. Zusätzlich sollte ich offenbar durch angebliche Virenfunde durch den "Defender" verunsichert werden, untermalt durch ein recht schauerliches Geräusch...

Nun versuchte ich es mit CCleaner, Malwarebytes und RSIT nach dieser Anleitung:
http://www.trojaner-board.de/69886-a...-beachten.html

Bei CCleaner konnte ein Eintrag in der Registry nicht entfernt werden:
Daten {80b8c23c - 16e0 - 4cd8 - bbc3 - cecec9a78b79}
Schlüssel HKCR\{80b8c23c ...}

Es folgen noch die Logfiles der anderen beiden Programme. Ergebnis war nun, dass die genannten Beeinträchtigungen des Systems behoben sind. Ich habe die Updates nachgeholt und AntiVir neu installiert. Damit erscheint das System nun erstmal sauber zu sein. Ich bin mir bewusst, dass 100%ige Sicherheit nur durch eine vernünftige Neuinstallation gewährleistet ist. Aber zum Einen wollen wir nur ungern die kompletten gespeicherten Daten platt machen und zum anderen denke ich eben, dass auch Virenprogrammierer nur Menschen sind. Einen Rechner, vor dem man selber sitzt, zu installieren kann schon nervenaufreibend genug sein, aber dann noch an Systemupdates, Firewalls und Virenscannern und einem doch-nicht-ganz-DAU vorbei zu kommen, erscheint mir doch schon recht kompliziert. Für die meisten Angreifer dürften lohnendere Ziele existieren. Oder bin ich hier zu unbedarft?

Ich würde mich freuen, wenn sich hier mal jemand die Logfiles ansehen könnte. Vielleicht gibt es da ja noch Hinweise, was man noch machen könnte, um die Systemsicherheit zu erhöhen. Ansonsten freue ich mich über eine undogmatische Diskussion über Neuaufsetzen oder nicht.

Ach ja eine Sache noch:
Ich komme irgendwie nicht (mehr) ins BIOS. Möglicherweise hab ich einfach das Passwort vergessen (wenn es sich denn vom Bootpasswort unterschied), aber kann es sein, dass ein Virus auch das BIOS schädigt? Und wie erkenne ich das?

Viele Grüße,
Saku
Angehängte Dateien
Dateityp: txt RSIT-log.txt (32,2 KB, 256x aufgerufen)
Dateityp: txt RSIT-info.txt (15,6 KB, 304x aufgerufen)
Dateityp: txt mbam-log-2009-11-10 (22-08-16).1.txt (87,5 KB, 236x aufgerufen)
Dateityp: txt mbam-log-2009-11-10 (22-08-16).2.txt (26,1 KB, 327x aufgerufen)

Alt 12.11.2009, 00:33   #2
WinUpGro
 
TR/Crypt.XPACK.Gen und "Windows System Defender" - Standard

TR/Crypt.XPACK.Gen und "Windows System Defender"



Zitat:
Dieses Problem kann auftreten, wenn ein Systemthread eine Ausnahme generiert, die vom Fehlerhandler nicht erfasst wird. Diese Ausnahme kann folgende Ursachen haben:

Wenn das Problem nach dem ersten Neustart beim Windows Setup oder nach Abschluss des Setups auftritt, verfügt der Computer möglicherweise nicht über genügend Festplattenspeicher zur Ausführung von Windows XP.

Das Computer-BIOS ist möglicherweise nicht kompatibel mit Windows XP oder muss aktualisiert werden.

Die Grafikkartentreiber sind möglicherweise nicht kompatibel mit Windows XP.

Ein Gerätetreiber oder ein Systemdienst ist möglicherweise beschädigt.

Wenn das Problem mit der Datei Win32k.sys zusammenhängt, kann die Ursache beim Remotesteuerungsprogramm eines anderen Anbieters liegen.
Das sagt MS zum Bluescreen, ich bin für "Ein Gerätetreiber oder ein Systemdienst ist möglicherweise beschädigt.".

Dazu muss aber ein BIOS funktionieren, sonst kommst Du nicht dahin.

Das Passwort kannst Du durch ein Reset des BIOS entfernen, RTFM bzw. schau mal ins Handbuch.

Bei dreissig infizierten Dateien ist wohl beten die beste Heilungsmethode.

Du kannst gerne auf jemanden warten und eine Bereinigung versuchen, Deine Selbsterkenntnis ist wohl besser, Neuinstallation.
__________________


Alt 12.11.2009, 23:07   #3
saku
 
TR/Crypt.XPACK.Gen und "Windows System Defender" - Standard

TR/Crypt.XPACK.Gen und "Windows System Defender"



Wie gesagt, Malwarebytes, Antivir und RSIT finden nichts verdächtiges mehr. Habe mir jetzt nochmal GMER geladen, das findet auch nix. Kann mir jemand noch etwas empfehlen?
__________________

Antwort

Themen zu TR/Crypt.XPACK.Gen und "Windows System Defender"
antivir, auf einmal, boot-cd, booten, dateien, defender, entfernen, fehler, fehler?, festplatte, hal.dll, infizierte, infizierte dateien, installation, logfiles, malwarebytes, netzwerk, neustart, programm, registry, scan, sicherheit, surfen, system, system defender, systemsicherheit, taskmanager, tr/crypt.xpack.ge, tr/crypt.xpack.gen, trojaner, updates, virus, windows, windows system



Ähnliche Themen: TR/Crypt.XPACK.Gen und "Windows System Defender"


  1. Avira meldet TR/Crypt.XPACK.Gen" in Datei "mjcrosoft-windows-hal-events.exe"
    Plagegeister aller Art und deren Bekämpfung - 09.04.2014 (13)
  2. Windows 8: "TR/Crypt.XPACK.Gen2" / "ADWARE/Amonetize.U.3"
    Plagegeister aller Art und deren Bekämpfung - 30.09.2013 (9)
  3. "Deutsche Post(eMail-Anhang)" Alle "EXE(Programme)" werden blockiert "WIN 7 Defender"
    Plagegeister aller Art und deren Bekämpfung - 27.12.2012 (3)
  4. PC nach Befall durch "TR/Crypt.XPACK.Gen" und "TR/Crypt.ZPACK.Gen2" extrem langsam
    Plagegeister aller Art und deren Bekämpfung - 29.11.2011 (7)
  5. "CorruptBootConfigData" Nach Virusbefall ("TR/Crypt.XPack.Gen")
    Plagegeister aller Art und deren Bekämpfung - 08.10.2011 (1)
  6. Avira AntiVir hat folgenden Fund: "TR/Crypt.XPACK.Gen2"
    Plagegeister aller Art und deren Bekämpfung - 04.03.2011 (0)
  7. Was ist tr "crypt.xpack.gen2" und "TR/Banker.Multi.TB"?
    Plagegeister aller Art und deren Bekämpfung - 09.01.2011 (7)
  8. Was ist tr "crypt.xpack.gen2" und "TR/Banker.Multi.TB"?
    Alles rund um Windows - 08.01.2011 (1)
  9. ständig neue "neue" viren TR/Dropper.Gen;TR/Crypt.XPACK.Gen;TR/Crypt.PEPM.Gen;BDS/Backdoor.Gen2...
    Plagegeister aller Art und deren Bekämpfung - 03.12.2010 (2)
  10. Infizierung mit "TR/Crypt.XPACK.Gen3" in C:/Windows/Temp/...
    Plagegeister aller Art und deren Bekämpfung - 23.10.2010 (4)
  11. Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh"
    Plagegeister aller Art und deren Bekämpfung - 16.08.2010 (43)
  12. Antivir findet mehrfach "tr/crypt.xpack.gen", is mein PC sauber?
    Plagegeister aller Art und deren Bekämpfung - 21.05.2010 (10)
  13. System Defender - Seite "safebuy"
    Plagegeister aller Art und deren Bekämpfung - 05.12.2009 (2)
  14. TR/Crypt.XPACK.Gen der Auslöser für ein "unruhiges" System?
    Log-Analyse und Auswertung - 02.12.2009 (1)
  15. Problem mit "TR/TDss.AE.22" und "TR/Crypt.XPACK.Gen"
    Mülltonne - 16.12.2008 (0)
  16. "Vundo" und "TR/Crypt.XPACK.Gen"
    Plagegeister aller Art und deren Bekämpfung - 24.09.2008 (9)
  17. "system-defender"-Website wird undaufgefordert geöffnet
    Mülltonne - 29.06.2008 (0)

Zum Thema TR/Crypt.XPACK.Gen und "Windows System Defender" - Hallo, da sich hier in diesem Forum einige Leute recht gut auszukennen scheinen, will ich mal meinen aktuellen Fall schildern: Es geht um den Laptop meiner Freundin. Sie benutzt AntiVir - TR/Crypt.XPACK.Gen und "Windows System Defender"...
Archiv
Du betrachtest: TR/Crypt.XPACK.Gen und "Windows System Defender" auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.