Trojaner-Board - TR/Crypt.EPACK.gen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - TR/Crypt.EPACK.gen (https://www.trojaner-board.de/105262-tr-crypt-epack-gen.html)

TR/Crypt.EPACK.gen

Hallo zusammen,

Vorerst schonmal angemerkt dass ich Win 7 64 Bit habe.

Angefangen hat alles damit das ich gestern Avira Antivir laufen lassen hab.
Dieser zeigte mir dann 5 Funde an und steckte sie sofort in Quarantäne. Dies war alles der/das TR/Crypt.EPACK.gen Virus/ Malware.
Als ich heute dann meinen PC anmachte und Firefox öffnete, kam die Meldung von Antivir das diese den Virus gefunden hat und steckte ihn sofort in Quarantäne. Dann schloss ich Firefox nochma und das wiederholte sich oft immer wieder (sprich von ca. 10 mal öffnen wurde ca. 9 mal dieser Virus gefunden). Immer wieder direkt in Quarantäne gesteckt.
Als ich dann mal weg war und den PC neu startete kam direkt auf dem Desktop wieder 3 Meldungen davon und AntiVir erstellt mir direkt einen Bericht.

//Edit: Wenn ich Firefox als Admin öffne kommt die Meldung nicht bzw. Antivir findet dann nichts.

Hier dann mal den Report von AntiVir und Malwarebyte.
OTL wie in den "Regeln" auch laufen lassen, kriege dort aber nicht die "Extra" Datei.
Hoffe das reicht zur Analyse.

MFG Philipp

Zitat:

Dieser zeigte mir dann 5 Funde an und steckte sie sofort in Quarantäne. Dies war alles der/das TR/Crypt.EPACK.gen Virus/ Malware.

Log ist unvollständig. Poste alle Logs von Antivir.

Falls im Reiter Logdateien von Malwarebytes mehrere Logs zu sehen sind, diese auch dann alle posten.

Hmm... komisch das war eig. die ganze Logdatei.
Naja hab jetzt auf jeden Fall alle Logs von Malwarebyte UND eine Protection Log Datei von denen wo ich schon erkennen kann dass der da Viren gefunden hat ;). Die anderen Protection Dateien davon sahen alle gleich aus und waren nur //Start und //End ungefähr.
Ausserdem hab ich noch alle Logs von Avira dabeigelegt wo es Viren gefunden hat.

Hoffe das hilft ;)

MFG Philipp

Führ bitte auch ESET aus, danach sehen wir weiter:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Da bittesehr ;)

Code:

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=7c10ed87fa41a94ea9a6dab9642d10b2

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2011-11-21 03:43:01

# local_time=2011-11-21 04:43:01 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=1792 16777215 100 0 2861152 2861152 0 0

# compatibility_mode=5893 16776574 100 94 19293227 73517300 0 0

# compatibility_mode=8192 67108863 100 0 3791 3791 0 0

# scanned=192351

# found=11

# cleaned=0

# scan_time=2731

C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\imageformats\qgif4.dll        a variant of Win32/Goblin.D virus (unable to clean)        00000000000000000000000000000000        I

C:\ProgramData\Tarma Installer\{DE3B7BF9-0770-4104-BC0B-B1CCCCE2F053}\_Setupx.dll        a variant of Win32/Adware.Yontoo.B application (unable to clean)        00000000000000000000000000000000        I

C:\Users\All Users\Tarma Installer\{DE3B7BF9-0770-4104-BC0B-B1CCCCE2F053}\_Setupx.dll        a variant of Win32/Adware.Yontoo.B application (unable to clean)        00000000000000000000000000000000        I

C:\Users\user\AppData\Local\Temp\YontooSetup-Silent.exe        probably a variant of Win32/Adware.DCVNUWP application (unable to clean)        00000000000000000000000000000000        I

C:\Users\user\Downloads\cnet_wax20e_zip.exe        a variant of Win32/InstallCore.D application (unable to clean)        00000000000000000000000000000000        I

C:\Users\user\Downloads\SoftonicDownloader_fuer_camstudio.exe        a variant of Win32/SoftonicDownloader.A application (unable to clean)        00000000000000000000000000000000        I

C:\Users\user\Downloads\SoftonicDownloader_fuer_hypercam.exe        a variant of Win32/SoftonicDownloader.A application (unable to clean)        00000000000000000000000000000000        I

C:\Users\user\Downloads\SoftonicDownloader_fuer_vegas-pro.exe        a variant of Win32/SoftonicDownloader.A application (unable to clean)        00000000000000000000000000000000        I

C:\Users\user\Downloads\SoftonicDownloader_fuer_windows-live-movie-maker.exe        a variant of Win32/SoftonicDownloader.A application (unable to clean)        00000000000000000000000000000000        I

C:\winmode.Bin\BB0B163CD2B.exe        a variant of Win32/Kryptik.VQW trojan (unable to clean)        00000000000000000000000000000000        I

${Memory}        a variant of Win32/Spy.SpyEye.CA trojan        000000000000000000000000000000

00        I

Ich war irgenwei n bissl erschrocken als ich das gesehen hab ;)

//Edit: Mein Avira meldet grad 2 Probleme... sollen durch ein Update behoben werden.
Kann ich das machen oder erstmal alles so lassen wie es ist?

MFG Philipp

Zitat:

C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\imageformats\qgif4.dll a variant of Win32/Goblin.D virus

Was hast du mit deinem Ubisoft-Verzeichnis angestellt? Irgendwas dran verändert?

Zitat:

C:\Users\user\Downloads\SoftonicDownloader_fuer_camstudio.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
C:\Users\user\Downloads\SoftonicDownloader_fuer_hypercam.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
C:\Users\user\Downloads\SoftonicDownloader_fuer_vegas-pro.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
C:\Users\user\Downloads\SoftonicDownloader_fuer_windows-live-movie-maker.exe

Bitte nicht falsch verstehen, aber irgendwie hab ich den Eindruck es ist ein Volkssport geworden sich sämtlichen Kram von Softonic zu laden. Da ist immer irgendein Müll wie Toolbars oder der sinnlose Softonic Downloader drin. Warum lädst du die Software nicht von der Seite des Herstellers oder notfalls bei chip.de?

Zitat:

C:\winmode.Bin\BB0B163CD2B.exe

Vorsicht! SpyEyes!
Machst du Onlinebanking oder ähnliche kritische Dinge mit diesem PC unter dieser verseuchten Windows-Installation?

Ich mach gar kein Online Banking bzw. kaufe ich gar keine Sachen im Internet auf dem PC.
Was mit dem Ubisoft Vezeichnis ist, weis ich nicht.. da war ich auch nicht dran.
Softonic nehm ich eig. nur im Notfall wenn ich grad die Herstellerseite oder Chip nicht finde.
Meistens nehm ich immer das erstbeste was mir vertraulich vorkommt.
Das werde ich wohl demnächst mal lassen ;) .

Kann man denn da noch was retten?

MFG Philipp

Zitat:

Ich mach gar kein Online Banking bzw. kaufe ich gar keine Sachen im Internet auf dem PC.

Wenn du auch noch andere Dinge erledigen willst als nur Zocken oder Solitär spielen wie zB E-Mails abrufen oder alles was Logins erfordert dann solltest du deine Daten sichern, den Rechner komplett plätten und eine Neuinstallation von Windows durchführen.
Anschließend auch sämtliche Passwörter ändern!!!

Mit komplett plätten wird gemeint: alle Partitionen auflösen, neu erstellen und formatieren. Helfen kann dabei ein Tool wie DBAN oder die Laufwerksverwaltung in einem Ubuntu im Ausprobiermodus.

Praktischerweise kann man mit diesem Live-Linux auch ziemlich gefahrlos all seine wichtigen Daten auf eine externe Platte sichern.
kopiere nur persönliche Dateien, Musik, Videos, etc. auf die Backupplatte, KEINE ausführbaren Dateien wie Programme/Spiele/Setups!!

Das hört sich nicht gut an :(

Kann man da nichts anderes machen?

Danke trotzdem für die Ferndiagnose.

MFG Philipp

Zitat:

Kann man da nichts anderes machen?

Was soll diese Frage? Es wurde doch nun eindeutig auf die Gefährlichkeit hingewiesen! Niemand kann wissen welche Passwörter genau nun von dir ausspioniert wurden!

Sorry die Frage. Ich meinte eigentlich den Virus zu killn und dann sämtliche Passwörter ändern...
Ich wollte jetzt eigentlich nicht den PC komplett Plätten.
Ich nutz den nämlich viel zum Zocken (nicht von Solitär ;) ) und hab keine Lust alle Spielstände etc. zub löschen.

Und wenn es nicht geht kann ich denn alle Spielstände noch kopieren?
Oder ist es nicht sinnvoll?

//Edit: Ich meinte jetzt nicht das es um das Passwörter ändern geht.

Ich hoffe du hast Verständnis :)

MFG Philipp

Zitat:

Ich wollte jetzt eigentlich nicht den PC komplett Plätten.

Solltest du aber nach SpyEyes-Befall tun, wenn du weiterhin etwas anderes machen willst, als nur Solitär oder Minesweeper :pfeiff:

Mist ich spiele noch Pinball.... :D

Hmmm... Das doof ;) ok werde ich machen.
Kann ich denn die Spielstände + Musik speichern und wieder drauf kopieren?
Oder ist das nicht empfehlenswert?
MFG Philipp

Zitat:

Kann ich denn die Spielstände + Musik speichern und wieder drauf kopieren?

Hm doch, Spielstände sollten passen, Musik auch.
Was für Dateiendungen haben die Spielstände denn? Eigentlich sollten das nur reine Datendateien sein aber nichts Ausführbares.

Zitat:

Zitat von cosinus (Beitrag 724052)

Was für Dateiendungen haben die Spielstände denn?

Alles nur reine Datendateien (von den wichtigsten Pinnball savegames :D )

Dann danke ich dir für die kompetente Hilfe :applaus:
und hoffe sozusagen nicht auf ein Wiedersehen ;).
:dankeschoen:

MFG Philipp