TR/Crypt:Xpack.gen Virus entfernen

nova34

New member
hallo, ich habe ein problem: ich haben mir einen ziemlich hartneckigen virus eingefange(Trojanischespferd: TR/Crypt:Xpack.gen). er scheint im avira ordner zu sein...siehe bild...
nun wenn ich einen suchdurchlauf starte zeigt er mir den virus an...was kann ich machen?


my.php
 
Hallo Nova,
ja der Trojaner TR/Crypt:Xpack.gen wurde in ein sicheren Ordner, wo er nicht ausgeführt werden kann, verschoben. Diesen Ordner nennt man .

Also hat Avira Antivir den Trojaner erfolgreich aus dem Verkehr gebracht.
 
aber wieso findet antivir bei jedem kontrolldurchlauf der datei, im quarantäneordner, 2 neue viren des names?
 
@ nova34

schlies mal alle Browser, Messenger usw... warte 5min oder so, und geh mal auf START / ausführen / gibst cmd ein / dann geht da son fenster auf, da gibste netstat -a ein. mach mal nen screen von dem was dann da alles steht.
 
der virus muss noch nicht mal unbedingt einer sein...
dieser signatur die er da gefunden hat kommt davon das ein programm (evtl. ein virus) gecryptet wurde so das er von deinem avira programm nicht erkannt wird. diese crypter werden aber auch verwendet um programme zu kodieren so das man sie nicht stehlen kann.

lad dir mal hijackthis runter und stelle den log file hier rein
 
tr crypt xpack gen

Hallo,
ich hab mich jetzt extra mal hier im forum angemeldet in der hoffnung hilfe zu bekommen.
Mein Avira AntiVir Programm hat ein Trojanisches Pferd Namens " tr cryp xpack gen" gefunden. Ich habe versucht es zu Löschen, allerdings erscheint die Meldung immer wieder. Ich hab auch nicht viel Ahnung von der Computerwelt und hoffe ihr könnt mir trotzdem behilflich sein?!

Freue mich auf eure Hilfe!!​
 
Tr/crypt.xpack.gen

hallo bin auch von der Tr/crypt.xpack.gen welle erfasst worden ... die erste datei hat mir zwar probleme bereitet ( wollte nicht gelöscht werden ...) aber ich hab se dann einfach geshredert und jetzt is se weg. seit 3 tagen aber findet antivir immer mal wieder den trojaner und irgendwie gefällt mir das nich so.
Hab mich n bischen so in den Foren umgeschaut und dann jetzt einfach mal auf gut glück mit hijackthis ne log datei erstellt:
logfile: schrieb:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:27:13, on 01.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\ArchiCrypt\Shredder 4\SecureDZoneService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~2\Notifier\Notifier.exe
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [BD] "C:\DOKUME~1\BRTIEG~1\LOKALE~1\Temp\dc.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{893A6DB0-FDC6-4FBD-B7FD-E8A4233DA452}: NameServer = 217.237.150.188 217.237.151.142
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SecureDZone Helper Service (SecureDZoneService) - Softwareentwicklung Remus - C:\Programme\ArchiCrypt\Shredder 4\SecureDZoneService.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-Online\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7042 bytes
ich hoffe mal ihr könntet mir helfen des eklige teil vom hal zu schaffen
danke schon mal
Dr.Frog


EDIT (autom. Beitragszusammenführung):


Hatte vllt vergessen noch zu schreiben wo der sich schon so eingeschlichhen hatte:
1. windows\system32\kb1ss1p.dll
2. C:\WINDOWS\system32\kb1sssd1p.VIR
==> beide dateien sind von mir über den jordan geschickt worden (shredder tool)
3. C:\System Volume Information\_restore{C9BDE010-6483-4C7B-B5A8-97D7A1BBB89F}\RP477\A0207990.dll
==> auch gelöscht (antivir)

in der reihenfolge hab ich eben rechachiert sind sie auch entdeckt worden
 
Zuletzt bearbeitet:
Hey erstmal dein Problem kann erstmal alles sein es kann auch ein ganz normales Programm sein das gecryptet wurde und jetzt als Virus erkannt wird. Crypten war ursprünglich um Programme davor zu schützen das man den Quellcode klauen kann. Diese werden jetzt aber dazu verwendet um Viren undetectet von Virenscannern zu machen aber auch immernoch um Programme zu schützen so kann es vorkommen das AV Programme normale Programme als Viren erkennen. Aus deinem Logfile kann ich jetzt nichts böses rausfinden. Die Endung .vir wird bei mir von Antivir verwendet wenn es sachen in Quarantäne schickt.

So wie ich dich verstanden habe kommen die Dateien wieder oder?

Hast du schonmal versucht die Systemwiederherstellung auszustellen und dann im abgesicherten Modus zu scannen ?

.

Ansonsten halt mit Hijackthis versuchen und dann nochmal hier berichten.
 
TR/Crypt.Xpack.Gen

Hi Leute !

Ich hab nen riesenproblem und hab mich deshalb hier angemeldet!

und zwar hab den virus TR/Crypt.Xpack.Gen! Ich hab hier auch schon anleitungen gesehen wie man den löscht aber das klappt nicht!

Bitte helft mir!

Ps: Hat der Virus nen hohes SChadenpotenzial?

Ich hab zeig euch ma was von hijackthis:


Logfile of HijackThis v1.99.1
Scan saved at 22:03:31, on 05.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\notepad.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Free Window Registry Repair\Regpair.exe
C:\WINDOWS\system32\cmd.exe
E:\Sicherheitssoftware\Sicherheit\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {3D9122CA-C6DA-46CA-8A2E-5C9728E327D8} - C:\WINDOWS\system32\ssqnmmk.dll
O2 - BHO: (no name) - {E5A3A574-DC8F-4F02-AF01-3854B45890E5} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O20 - Winlogon Notify: ssqnmmk - C:\WINDOWS\SYSTEM32\ssqnmmk.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Virtual CD v8 Management Service (VC8SecS) - Unknown owner - D:\Programme\Virtual CD v8\System\VC8SecS.exe (file missing)

Bitte helft mir!!!
 
Hallo erstmal keine Panik.

hacker benutzen sogenannte crypter um viren zu cryten dh dass sie antivir nicht erkennt.

lass mal antivir drüber laufen und lösche es und wenn es nicht geht vll windows neu draufmachen aber das wäre die letzte lösung oder noch paar andere programme versuchen die es vll löschen könnten.

Hoffe es klappt und versuche weniger dateien von freunden über icq oder so anzunhemen als tipp
 
ja ich hab schon alles mögliche probiert!!

meinste echt ich muss jetzt formatieren?


BItte eine muss mir doch helfen
 
eine nicht aber einer hilft dir 😉

schau mal in welchem verzeichnis der virus ist bestimmt icq oder so .

schadet er deinem pc also merkst du was?
 
Naja ich würde schon platt machen da diese Viren meistens etwas tiefer im sys sitzen und dir einen server unterjubeln mit dem der angreifer alles von deinem pc klauen kann. Alle gespeicherten passwörter bankdaten emails icq history und damit viel schaden anrichten kann.
 
Diese Datei sollte nicht wirklich ein prob sein Lad sie mal bei virustotal.com hoch und schaue was die sagen. Weil ich sehe in der Datei bisher noch keine wirkliche gefahr. Und l'oesch sie nicht einfach ohne zu wissen was es ist. Wenn du dich informiert hast und sie bei virustotal gecheckt hast poste mal das ergebniss hier. dann entferne sie scanne deinen pc mit antivir und Spybot Search and Destroy. Dann restarten und den hijackthis nochmal drueberchecken lassen. Dann sollte alles weg sein.
 
Trojaner Meldung "TR/Crypt.XPACK.Gen" von Antivir

Hallo

Mein Antivir Guard hat mir folgendes gemeldet:
" In der Datei 'C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\t8qxm4yo.default\Cache\50D613BDd01'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern"

Zuerst hatte ich Datei löschen angeklickt, doch es sprang automatisch auf Zugriff verweigern. :fuchtel:
Nun finde ich die Datei an der angegebenen Stelle nicht. Heißt das, der Virus ist gelöscht, bzw. unschädlich?
Ich habe danach Antivir, Spybot und Ad-aware drüber laufen lassen. Ohne Funde.

Beim googlen habe ich herausgefunden, daß dieses Ding eigentlich nur durch format C zu killen ist.
Da ich aber vorher Daten sichern müßte und auch ständig eine externe Festplatte mitläuft, sichere ich dann nicht quasi den Virus mit und setze ihn dann wieder in ein sauberes System? Oder sitzt so ein Ding immer nur in C?
( Meine Festplatte ist partitioniert - aus C liegt nur das Betriebssystem )

Für eine Auskunft wäre ich sehr dankbar.
 
der virus ist in die quarantäne verschoben worden, wo er nichts anstellen kann.

Entweder versuchst du per Knoppix Live CD den Virus zu löschen, oder versuch mal ein anderes anti virus wie avast!.
 
Hallo!

Danke für die Antworten!
Habe es mit Avast versucht und er hat 2 infizierte Dateien gefunden, die ich lt. Empfehlung in den Container verschoben habe. Habe ich mir mit dem Löschen dieser Datein nun das Formatieren gespart?
Und zweite Frage: Ist es okay, avast gleichzeitig mit antivir laufen zu lassen?

Danke 🙂
 
2 Antivirus programme schaden nicht, es gibt sachen was avast findet was antivir zb. nicht findet.

Ist die datei denn jetzt gelöscht wenn du einen scan machst?
 

Online-Statistiken

Zurzeit aktive Mitglieder
0
Zurzeit aktive Gäste
23
Besucher gesamt
23

Beliebte Forum-Themen

Zurück
Oben Unten