TR/Crypt:Xpack.gen Virus entfernen

[Cordan]

Autorun deaktivieren unter XP:
Klicke nacheinander auf Start - Ausführen und gib dort services.msc ein und klicke auf OK. Suche in den Diensten nach Shellhardwareerkennung, öffnen der Eigenschaften mit Doppelklick. Service stoppen und deaktivieren.

Ob Du nun eine oder 3 oder 6 Platten in Deinem Rechner verbaut hast, ist prinzipiell völlig egal. Wenn Du Laufwerke C und D in Deinem Rechner hast solltest Du vorher noch prüfen, ob es sich tatsächlich um 2 physische Platten handelt, oder nur um 1 Platte mit 2 Partitionen.

 

[Albedo]

Autorun deaktivieren unter XP:
Klicke nacheinander auf Start - Ausführen und gib dort services.msc ein und klicke auf OK. Suche in den Diensten nach Shellhardwareerkennung, öffnen der Eigenschaften mit Doppelklick. Service stoppen und deaktivieren.

Ob Du nun eine oder 3 oder 6 Platten in Deinem Rechner verbaut hast, ist prinzipiell völlig egal. Wenn Du Laufwerke C und D in Deinem Rechner hast solltest Du vorher noch prüfen, ob es sich tatsächlich um 2 physische Platten handelt, oder nur um 1 Platte mit 2 Partitionen.

1. Habe es mal ausprobiert und nach Shellhardwareerkennung gesucht, aber nichts gefunden... gibt es da eine alternative Möglichkeit, die Autorunfunktionen abzuschalten?

2. Wenn die Autorunfunktion abgeschaltet ist, kann ich dann ohne Probleme Externe Festplatte anschliessen/gebrannte CD einlegen und dann mit dem Virusscanner durschsuchen, selbst wenn diese ausführbare Dateien (.exe Dateien zum installierent von Programmen, und einige .doc und .pdf dokumente) enhalten?

 

[Cordan]

Zu 1. Ja, durch eine Änderung in der Registry oder durch eine Gruppenrichtline (setzt WinXP Professional voraus).

Gruppenrichtlinieneditor aufrufen (Start - Ausführen - gpedit.msc), hier unter Computerkonfiguration - Administrative Vorlagen - System die Gruppenrichtlinie "Autoplay deaktivieren" bearbeiten. Hier kannst Du auch festlegen, ob sich die Gruppenrichtlinie auf alle Laufwerke oder nur auf CD ROMs auswirken soll.

Zu 2. Ja. Die Autorunfunktion sucht auf Wechseldatenträgern (CD, DVD, USB-Sticks etc...) nach einer Datei autorun.inf. In dieser befinden sich dann Informationen, welche Datei beim Einlegen des Datenträgers gestartet werden soll. Wird keine autorun.inf gefunden, wird Autoplay aktiviert, das den Datenträger durchsucht und dann, passend zum Medium, Funktionen anbietet (Abspielen mit Windows Mediaplayer, CD brennen etc..).
Ausführbare Dateien bzw. Dokumente müssen explizit per Doppelklick gestartet werden, dir rennen also nicht von alleine los...

 

[Albedo]

Zu 1. Ja, durch eine Änderung in der Registry oder durch eine Gruppenrichtline (setzt WinXP Professional voraus).

Gruppenrichtlinieneditor aufrufen (Start - Ausführen - gpedit.msc), hier unter Computerkonfiguration - Administrative Vorlagen - System die Gruppenrichtlinie "Autoplay deaktivieren" bearbeiten. Hier kannst Du auch festlegen, ob sich die Gruppenrichtlinie auf alle Laufwerke oder nur auf CD ROMs auswirken soll.

Zu 2. Ja. Die Autorunfunktion sucht auf Wechseldatenträgern (CD, DVD, USB-Sticks etc...) nach einer Datei autorun.inf. In dieser befinden sich dann Informationen, welche Datei beim Einlegen des Datenträgers gestartet werden soll. Wird keine autorun.inf gefunden, wird Autoplay aktiviert, das den Datenträger durchsucht und dann, passend zum Medium, Funktionen anbietet (Abspielen mit Windows Mediaplayer, CD brennen etc..).
Ausführbare Dateien bzw. Dokumente müssen explizit per Doppelklick gestartet werden, dir rennen also nicht von alleine los...

1. Habe leider nicht die Professional Edition, was müsste ich nun in der Registry ändern (oder sollte ich das besser nicht tun, weil ich nicht sehr viel Erfahrung habe)?

2. Sollte ich die Externe Festplatte (mit deaktivierter Autorunfunktion) später über ein "eingeschränktes Benutzerkonto" scannen, oder sollte ich dies nur über ein Adminkonto tun? (habe gehört, es wäre sicherer, alles was keine Adminrechte benötigt, am besten nur über eingeschränkte Benutzerkonten zu erledigen, und nur als Admin einzuloggen für Windows Updates und das installieren von sicheren Programmen)

 

[Cordan]

OK, als Laie solltest Du lieber nicht in der Registry rumfummeln. Schau Dir mal

You do not have permission to view link please Anmelden or Registrieren

an, speziel TweakUI und

You do not have permission to view link please Anmelden or Registrieren

die passende Anleitung, wie man damit Autorun abschaltet.

Ob Du den Scanner von einem eingeschränkten oder einem administrativen Konto aus auf die externe Platte loslässt ist eigentlich egal.

 

[Albedo]

OK, als Laie solltest Du lieber nicht in der Registry rumfummeln. Schau Dir mal

You do not have permission to view link please Anmelden or Registrieren

an, speziel TweakUI und

You do not have permission to view link please Anmelden or Registrieren

die passende Anleitung, wie man damit Autorun abschaltet.

Ob Du den Scanner von einem eingeschränkten oder einem administrativen Konto aus auf die externe Platte loslässt ist eigentlich egal.

Mit diesem Programm kann ich dann Autorun deaktivieren ohne selbst etwas an der Registry zu verändern, richtig?

Läuft dieses Programm auch unter XP Service Pack 3? (denn ich sehe es wurde 2004 das letzte mal aktualisiert)

 

[Cordan]

Richtig.
Lade Dir die PowerToys am Besten direkt bei

You do not have permission to view link please Anmelden or Registrieren

herrunter, da kannst Du dann auch sicher sein, die aktuellste Version zu erhalten.

 

[Albedo]

Richtig.
Lade Dir die PowerToys am Besten direkt bei

You do not have permission to view link please Anmelden or Registrieren

herrunter, da kannst Du dann auch sicher sein, die aktuellste Version zu erhalten.

Vielen dank für all die Hilfe.

 

[habefertig]

Leute! Ich bin erschrocken, wieviele "Experten" sich hier tummeln und keiner weiß so genau wovon er/sie redet. Wenn man in der Informatik vermutet, hat man schon verloren. Ich kann mich nur wundern. Ich will nicht sagen, daß ich die Lösung habe, aber diesen Thread zu lesen ist reine Zeitverschwendung.

 

[MaNnI221o]

Unwissenheit

hallo
ich habe mich heute angemeldet weil ich nicht weiter weiß :fuchtel:
ich habe meinen pc vor 2 monaten ein neues windows draufgespielt weil mein altes glaube ich von einem virus zerstört eine system 32 dat gefehlt hat erst hat es angefangen mit hostprozess für windows dienste wurde beendet dann ging kein programm mehr und dann ging gar nix mehr nun habe ich wieder einen virus gefunden :fuchtel: ( neues windows 7)
komischer weise habe ich noch alle daten von windows vista ( altes windows)
so nun habe ich einen virus gefunden TR/Crypt.XPACK.Gen in : 'C:\Users\benutzer\AppData\Local\Temp\EAD892B.exe'
hier mein scan bitte sagen ob mein pc gefährdet ist (
danke im voraus


Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 16:43:22, on 02.12.2010
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16671)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskhost.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Nero\Update\NANotify.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Windows\explorer.exe
C:\program files\avira\antivir desktop\avcenter.exe
C:\Program Files\Winamp\winamp.exe
C:\Users\Manfred´s Halo\Downloads\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =

You do not have permission to view link please Anmelden or Registrieren

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

You do not have permission to view link please Anmelden or Registrieren

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

You do not have permission to view link please Anmelden or Registrieren

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

You do not have permission to view link please Anmelden or Registrieren

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

You do not have permission to view link please Anmelden or Registrieren

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

You do not have permission to view link please Anmelden or Registrieren

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [EA Core] C:\Program Files\Electronic Arts\EADM\Core.exe -silent
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: @C:\Program Files\Nero\Update\NASvc.exe,-200 (NAUpdate) - Nero AG - C:\Program Files\Nero\Update\NASvc.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

--
End of file - 2701 bytes

 

[nocandoo]

PC wurde gehackt.

Als absoluter Foren-Neuling (ich fummel mich meistens irgendwie durch) weiß ich nicht, ob dies der richtige Weg ist. Bin durch Zufall auf euer Forum gestoßen und habe mich registriert, um an dieser Stelle ein großes Kompliment auszusprechen, für die geduldige und fachkundige Hilfe die "Albedo" bei seinem Problem zuteil wurde. Auch ich sitze in Frankreich - fernab auf dem Lande und muss viele PC-Probleme selbst lösen. Da ich demnächst meinen Desktop platt machen muss werde ich mich voller Vertrauen an euch wenden, ohne zu fürchten, dass mich hier jemand wegen meiner Laienhaften Fragen zusammensch.... (Ist mir in einem anderen Forum passiert).
Beruhigend, dass es so ein gutes Forum gibt
Nocandoo (Nomen est Omen)

 

[-Hunter-]

TR/Crypt.XPACK.Gen

Hi ihr!
Nun hat es mich auch erwischt!
Ich weiß es gibt viele Threads zu dem Virus, aber nach dem Formatieren meines PCs hab ich gemerkt, dass er sich auf meiner neuen Externen Festplatte befindet (glaube ich).
Mein Antivir zeigt mir auf C: keine Funde, nur Warnungen.
Nun meine Frage:
Wie kann ich überprüfen ob mein Rechner (nach dem Formatieren) komplett davon frei ist? Hab leider die Externe schon angeschlossen, wobei die autorun.inf blockiert wurde.
Wie lösch ich ihn von meiner Externen? sonst müsst ich leider alle meine Daten davon löschen...oder?
Rundum, wie geh ich vor?
Kann auch mein Router davon betroffen sein? Weil das Internet hat auch ziemlich gespackt...

Ich kenn mich leider überhaupt nicht mit dem ganzen Kram aus,
bin froh wenn ich n bisschen in Word tippen kann...also wäre freundlich wenn ihr mich in der Hinsicht wie ein Kleinkind behandelt...

Grüßle
Martin

 

[bisy]

wie wäre es mit viren prüfung auf deinner externen festplatte.

du kannst dir auch das linux live system computerbild notfall cd laden, auf cd brennen und davon booten, da ist ein gutes antivieren prog dabei.

You do not have permission to view link please Anmelden or Registrieren

anleitung:

You do not have permission to view link please Anmelden or Registrieren

 

[-Hunter-]

Hey,
Danke für die Antwort!
Ich hab grad mal mit meiner Virensoftware probiert (das Standard free Avira) und hab es auf meiner Externen in Quarantäne verschoben und gelöscht...
Jetzt gibt er keine Funde mehr an, weder auf der Externen oder Internen...
Reicht das aus?
Brauch ich mir noch Sorgen machen?

Grüßle
Martin

 

[bisy]

ich würde es trotzdem nochmal über die cd machen, zur sicherheit.

wenn die dann nichts findet ist alles weg

 

[-Hunter-]

Danke für die Antwort

Aber meine Festplatte selbst prüfen geht nicht ,also die externe oder?

 

[bisy]

das geht mit jedem antivir prog, du kannst externe festplatten, usbsticks, usw prüfen. geht auch mit der computerbild notfall cd

 

[-Hunter-]

Danke wieder
Habe jetzt die NOtfall Cd ausprobiert, aber es klappt nicht.
Ich lass von CD booten, das computerbildlogo kommt, ich kann verschiedene Dinge auswählen und start dann das notfallprog.
Es lädt und irgedwann kommt die meldung:

System not found

An error occured: The media containing the system was not found. The most
likely reason for this are eighter a damaged media or an unsupported chipset.
Please try the following:

* Burn the CD with slower speeds

* Try installing on a different USB stick

* On slow USB chips add the boot parameter usbwait=10 (or higher)

* If this message appears whe starting from CD, prepare a bootable USB stick
on a different computer and try booting this computer from the USB stick

You can help enhancing LessLinux by providing information on your hardware to
hardware@lesslinux.org. Please also provide the build ID and the settings that
may have lead to a usable startup.

 

[bisy]

brenn die cd mal langsamer, am besten ganz langsam, beim brennen mit hoher geschwindigkeit werdem meist fehler drauf gebrannt.

 

[GästeFrage]

Crypt.XPack.gen

Hallo allerseits, ich habe mir den selben Trojaner eingefangen. Antivir hat Crypt.XPack.gen vorgestern
angezeigt,"C:\Program Files (x86)\Internet Explorer\iexplore.exe". Ich habe ZUgriff verweigern ausgeführt.
Vorher gab es noch zwei weitere Meldungen, beide bezüglich TR/Dropper.gen, einmal hier
"C:\Program Files (x86)\Internet Explorer\ielowutil.exe' und einmal in "C:\Program Files (x86)\Adobe\Adobe Help\Adobe Help.exe
Die Systemwiederherstellung ist deaktiviert, aber beim Suchen im abgesicherten Modus hat Avira nichts
gefunden. Im normalen Modus hat der PC aber immer noch Probleme, als ich da eine Überprüfung gestartet
habe, hat sie sich nach 3,4% aufgehangen.
Kann mir irgenjemand helfen?
P.S: Wie kann es sein, dass ich mir zwei unterschiedliche Trojaner hole und die beiden sich zum gleichen Zeitpunkt
aktivieren?

 

[GästeFrage]

Trojaner Bitte um Hilfe

Hej ihr, bei mir steht bei Kaspersky, dass meine Sicherheit bedroht ist, da Malware gefunden wurde. Und zwar handelt es sich um: Heur.Exploit.Java.CVE-2012-0507.gen Das Problem: Kaspersky lässt mich den Virus nicht löschen, als Grund nennt er "irreparabel". Meine Frage: Was tun? Ist der Virus schlimm und wie entferne ich ihn jetzt? Lieben Dank!!