TR/Crypt:Xpack.gen Virus entfernen

02.01.2008, 14:26

hallo, ich habe ein problem: ich haben mir einen ziemlich hartneckigen virus eingefange(Trojanischespferd: TR/Crypt:Xpack.gen). er scheint im avira ordner zu sein...siehe bild...
nun wenn ich einen suchdurchlauf starte zeigt er mir den virus an...was kann ich machen?

02.01.2008, 17:35

Hallo Nova,
ja der Trojaner TR/Crypt:Xpack.gen wurde in ein sicheren Ordner, wo er nicht ausgeführt werden kann, verschoben. Diesen Ordner nennt man Quarantäne.

Also hat Avira Antivir den Trojaner erfolgreich aus dem Verkehr gebracht.

02.01.2008, 18:46

aber wieso findet antivir bei jedem kontrolldurchlauf der datei, im quarantäneordner, 2 neue viren des names?

02.01.2008, 19:21

@

]

schlies mal alle Browser, Messenger usw... warte 5min oder so, und geh mal auf START / ausführen / gibst cmd ein / dann geht da son fenster auf, da gibste netstat -a ein. mach mal nen screen von dem was dann da alles steht.

02.01.2008, 19:32

EDIT (autom. Beitragszusammenführung):

hab

02.01.2008, 22:13

der virus muss noch nicht mal unbedingt einer sein...
dieser signatur die er da gefunden hat kommt davon das ein programm (evtl. ein virus) gecryptet wurde so das er von deinem avira programm nicht erkannt wird. diese crypter werden aber auch verwendet um programme zu kodieren so das man sie nicht stehlen kann.

lad dir mal hijackthis runter und stelle den log file hier rein

03.01.2008, 10:23

also ich und

] haben gestern festgestellt, das es höchstwahrscheinlich nichts schlimmes war, danke an alle!

28.03.2008, 12:37

Hallo,
ich hab mich jetzt extra mal hier im forum angemeldet in der hoffnung hilfe zu bekommen.
Mein Avira AntiVir Programm hat ein Trojanisches Pferd Namens " tr cryp xpack gen" gefunden. Ich habe versucht es zu Löschen, allerdings erscheint die Meldung immer wieder. Ich hab auch nicht viel Ahnung von der Computerwelt und hoffe ihr könnt mir trotzdem behilflich sein?!

Freue mich auf eure Hilfe!!

28.03.2008, 18:16

Starte den PC neu und beim Booten musst du mit dem Knopf F8 in den Abgesicherten Modus starten.
Dort wird diese "tr cryp xpack gen" Virus nicht geladen udn du kannst es mit Avira Antivir löschen.
PS: Herzlich Willkommen bei uns.

Schau dazu bitte noch folgenden Beitrag an: http://www.pcmasters.de/forum/intern...entfernen.html

01.04.2008, 22:56

hallo bin auch von der Tr/crypt.xpack.gen welle erfasst worden ... die erste datei hat mir zwar probleme bereitet ( wollte nicht gelöscht werden ...) aber ich hab se dann einfach geshredert und jetzt is se weg. seit 3 tagen aber findet antivir immer mal wieder den trojaner und irgendwie gefällt mir das nich so.
Hab mich n bischen so in den Foren umgeschaut und dann jetzt einfach mal auf gut glück mit hijackthis ne log datei erstellt:

Zitat:

Zitat von logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:27:13, on 01.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\ArchiCrypt\Shredder 4\SecureDZoneService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~2\Notifier\Notifier.exe
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

]
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe "
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe "
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [BD] "C:\DOKUME~1\BRTIEG~1\LOKALE~1\Temp\dc.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{893A6DB0-FDC6-4FBD-B7FD-E8A4233DA452}: NameServer = 217.237.150.188 217.237.151.142
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SecureDZone Helper Service (SecureDZoneService) - Softwareentwicklung Remus - C:\Programme\ArchiCrypt\Shredder 4\SecureDZoneService.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-Online\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7042 bytes

ich hoffe mal ihr könntet mir helfen des eklige teil vom hal zu schaffen
danke schon mal
Dr.Frog

EDIT (autom. Beitragszusammenführung):

Hatte vllt vergessen noch zu schreiben wo der sich schon so eingeschlichhen hatte:
1. windows\system32\kb1ss1p.dll
2. C:\WINDOWS\system32\kb1sssd1p.VIR
==> beide dateien sind von mir über den jordan geschickt worden (shredder tool)
3. C:\System Volume Information\_restore{C9BDE010-6483-4C7B-B5A8-97D7A1BBB89F}\RP477\A0207990.dll
==> auch gelöscht (antivir)

in der reihenfolge hab ich eben rechachiert sind sie auch entdeckt worden

02.04.2008, 06:39

Hey erstmal dein Problem kann erstmal alles sein es kann auch ein ganz normales Programm sein das gecryptet wurde und jetzt als Virus erkannt wird. Crypten war ursprünglich um Programme davor zu schützen das man den Quellcode klauen kann. Diese werden jetzt aber dazu verwendet um Viren undetectet von Virenscannern zu machen aber auch immernoch um Programme zu schützen so kann es vorkommen das AV Programme normale Programme als Viren erkennen. Aus deinem Logfile kann ich jetzt nichts böses rausfinden. Die Endung .vir wird bei mir von Antivir verwendet wenn es sachen in Quarantäne schickt.

So wie ich dich verstanden habe kommen die Dateien wieder oder?

Hast du schonmal versucht die Systemwiederherstellung auszustellen und dann im abgesicherten Modus zu scannen ?

].

Ansonsten halt mit Hijackthis versuchen und dann nochmal hier berichten.

02.04.2008, 18:18

Ich habe den Beitrag mal zusammen gefasst, da es sich alles um den selben Virus TR/Crypt:Xpack.gen handelt.

05.04.2008, 21:03

Hi Leute !

Ich hab nen riesenproblem und hab mich deshalb hier angemeldet!

und zwar hab den virus TR/Crypt.Xpack.Gen! Ich hab hier auch schon anleitungen gesehen wie man den löscht aber das klappt nicht!

Bitte helft mir!

Ps: Hat der Virus nen hohes SChadenpotenzial?

Ich hab zeig euch ma was von hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 22:03:31, on 05.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\notepad.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Free Window Registry Repair\Regpair.exe
C:\WINDOWS\system32\cmd.exe
E:\Sicherheitssoftware\Sicherheit\Hijackthis\Hijac kThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {3D9122CA-C6DA-46CA-8A2E-5C9728E327D8} - C:\WINDOWS\system32\ssqnmmk.dll
O2 - BHO: (no name) - {E5A3A574-DC8F-4F02-AF01-3854B45890E5} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O20 - Winlogon Notify: ssqnmmk - C:\WINDOWS\SYSTEM32\ssqnmmk.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Virtual CD v8 Management Service (VC8SecS) - Unknown owner - D:\Programme\Virtual CD v8\System\VC8SecS.exe (file missing)

Bitte helft mir!!!

05.04.2008, 21:32

Hallo erstmal keine Panik.

hacker benutzen sogenannte crypter um viren zu cryten dh dass sie antivir nicht erkennt.

lass mal antivir drüber laufen und lösche es und wenn es nicht geht vll windows neu draufmachen aber das wäre die letzte lösung oder noch paar andere programme versuchen die es vll löschen könnten.

Hoffe es klappt und versuche weniger dateien von freunden über icq oder so anzunhemen als tipp

05.04.2008, 21:42

ja ich hab schon alles mögliche probiert!!

meinste echt ich muss jetzt formatieren?

BItte eine muss mir doch helfen

05.04.2008, 22:10

eine nicht aber einer hilft dir

schau mal in welchem verzeichnis der virus ist bestimmt icq oder so .

schadet er deinem pc also merkst du was?

05.04.2008, 23:26

Naja ich würde schon platt machen da diese Viren meistens etwas tiefer im sys sitzen und dir einen server unterjubeln mit dem der angreifer alles von deinem pc klauen kann. Alle gespeicherten passwörter bankdaten emails icq history und damit viel schaden anrichten kann.

07.04.2008, 19:01

ja im system32 ordner ssqnmmk.dll so heißt die datei!

07.04.2008, 22:03

ich würde rstmal alles versuchen den zu löschen aber wenns net geht windows neu druf packen

07.04.2008, 22:33

Diese Datei sollte nicht wirklich ein prob sein Lad sie mal bei virustotal.com hoch und schaue was die sagen. Weil ich sehe in der Datei bisher noch keine wirkliche gefahr. Und l'oesch sie nicht einfach ohne zu wissen was es ist. Wenn du dich informiert hast und sie bei virustotal gecheckt hast poste mal das ergebniss hier. dann entferne sie scanne deinen pc mit antivir und Spybot Search and Destroy. Dann restarten und den hijackthis nochmal drueberchecken lassen. Dann sollte alles weg sein.

TR/Crypt:Xpack.gen Virus entfernen

tr crypt xpack gen

Tr/crypt.xpack.gen

TR/Crypt.Xpack.Gen