Avira findet Trojaner

[Butthead619]

Ich hab einen Vierenscann gemacht und da hat Avira das Trojanische Pferd TR/Crypt.XPACK.Gen gefunden ich bezweifel aber das es sich um einen Trojaner handel.
Ich will mal wissen was ihr dazu sagt

Hier der Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:39:34, on 09.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
F:\CDBurner\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Lexmark X5100 Series\lxbabmgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Lexmark X5100 Series\lxbabmon.exe
F:\hjt\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Programme\Lexmark X5100 Series\lxbabmgr.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\ICQ\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\ICQ\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NMSAccessU - Unknown owner - F:\CDBurner\CDBurnerXP\NMSAccessU.exe
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - F:\Sandra Lite\SiSoftware Sandra Lite 2009.SP3c\RpcAgentSrv.exe

--
End of file - 4215 bytes

 

[aglo]

könntest du mir dein problem genauer schildern?

 

[firefox888]

In welcher Datei hat er das gefunden?
Für mich sieht das wie eine Fehlermeldung aus.

 

[sabermaul]

Geh doch mal mit Prozess Explorer o. ä. die aktiven Prozesse durch (und wenn du schon HiJackThis hast, kannst du das doch auf deren Website auswerten lassen und deren Empfehlungen mal durchlesen).

 

[infinity_dev]

TR/Crypt.XPACK.Gen ist wohl ein heuristischer Treffer. Ich tippe mal auf ein Programm, das mit einem .exe-Packer gepackt wurde und einfach den heuristischen Score überschreitet.

 

[Butthead619]

Jetz hab ich ein neues Problem weil avira hat einen anderen Virus gefunden aber ich glaub des ist jetzt wirklich einer nämlich JS/iFrame.ajs.

Hier mal mein logfile ich hoff ihr könnt mir helfen.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:14:38, on 17.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
F:\CDBurner\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\ctfmon.exe
F:\hjt\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Programme\Lexmark X5100 Series\lxbabmgr.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\ICQ\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\ICQ\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NMSAccessU - Unknown owner - F:\CDBurner\CDBurnerXP\NMSAccessU.exe
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - F:\Sandra Lite\SiSoftware Sandra Lite 2009.SP3c\RpcAgentSrv.exe

--
End of file - 4119 bytes

 

[CoS]

Also an den vorliegenden Daten kann ich nix erkennen.

Avira schlägt allerdings schnell Alarm, so werden mit ActionScript geschriebene Programme von Haus aus als Virus deklariert!

Beim Aufruf von Webseiten werden häufig irgendwelche Javascripts schon als Virus erkannt, weil dort bestimmte Funktionen im Code verwendet werden, die vielleicht irgendwann mal auch für einen Virus benutzt wurden. Sofern Dein OS geupdated ist (bei XP minimum SP1) sollte es aber keine Probleme mehr damit geben. Früher gabs die Möglichkeit Trojaner über Active X Schnittstellen zu laden, die ihre Anweisungen über Javascript bekam. Dieses Javascript wurde dann als "Trojan Downloader" deffiniert. Jedoch gibts auch Javascripts die "relguläre" Steuerelemente prüft und bei nicht vorhanden zum Download anbietet. Diese "legitimen" Scripte werden dann häufig als Virus erkannt, da sie eben das selbe tun, was der Virus früher auch tat. Wenn Du wie gesagt up to Date bist, brauchst Du Dir aber diesbezüglich keine Platte machen!

Im übrigen - Du kannst Dich nicht (mehr) ohne Dein zutun mit Viren infizieren. Ein Virus ist letztenlich ein Programm, welches Du mehr oder weniger bewusst starten musst. Beispielsweise ziehst Du Dir auf irgendeiner Webseite ein Spiel. Nennen wir es mal "Kartenspiel.exe" und diese führst Du jetzt aus. Dann (und erst dann) kannst Du Dich ernsthaft infiziert haben, auch wenn da wirklich ein Kartenspiel aufgeht, kann da hintendran ein Virus gehangen haben, der somit ebenfalls gestartet wurde!

In Bild- oder Videodaten können zwar Viren dranhängen, können Dich aber nicht ohne weiteres infizieren, da Bild- und Videodateien von anderen Programmen nur "interpretiert" werden - Du führst sie aber nicht aus, somit kann Dir auch nix passieren!

 

[BigNapoleon]

Hi


Ich habe seit neuestem auch diese Meldung, dass AntiVir einen TR/Crypt.XPACK.Gen gefunden hat. Bei mir tritt diese Meldung nur in einem besonderem Fall, aber dazu muss ich kurz ausholen:

Ich habe mir nämlich ein U3 USB-Stick geholt und heute sitze ich und experimentiere ich mit den U3 Tools, eigentlich alle von dieser Seite:
http://software.u3.com
Und da ich mein Stick auch auf fremden PCs absichern möchte, habe ich mir auch das Avast! Antivirus U3 Edition installiert. So weit so gut. Es gab keine Probleme mit laufenden Antivir, auch sind beide parallel aktiv (natürlich nur wenn Stick im PC steckt) und beißen sich dabei nicht.
Und jetzt kommen ich zu der Meldung von Antivir, die kommt nämlich kurz nach dem ich den USB Stick ins PC rein stecke. Dabei Startet das U3 Programm und gleich mit ihr, das Avast Tool. Es macht eine Initialisierung und dann eine Host-Umfeld Prüfung. Und während dieser Prüfung, Spring Antiriv mit der Meldung dass ein Virus oder unerwünschtes Programm namens TR/Crypt.XPACK.Gen gefunden wurde.

Solange ich Antivir keine Antwort geben, bleibt auch der Avast bei der besagten Prüfung stehen. Dabei wird bei diesem eine unacev2.dll angezeigt. Keine Ahnung, ob es die betroffene dll ist von der das Antivir eine Meldung macht, oder eine die davor angezeigt wurde....
Zum Schluss klicke ich bei Antivir auf was und Avast macht sein Scann zu Ende und startet in der Taskleiste.


Ach ja, Antivir gibt mir den Zielordner, aber ist zu lang um den ganzen Pfad zu sehen:
C:\Dokumente und Einstellungen\mein AccName auf dem PC\...\unp67322807.temp


Was meint ihr, auch ne Fehlermeldung von Antivir?


Gruß Big ^^

Edit: Ich konnte jetzt den vollständigen Pfad rausfinden:
C:\Dokumente und Einstellungen\mein AccName auf dem PC\Lokale Einstellungen\Temp\_avast4_\unp67322807.tmp
Es muss also was mit Avast auf sich haben und muss somit ungefährlich sein, oder?

 

[sabermaul]

Avast ist ja mal cool - findet selbst angelegt Dateien als Virus^^
Leer doch mal den Temp-Ordner und beobachte das ganze.
Hattest du früher mal ein anderes Antivierenprogramm installiert?

 

[BigNapoleon]

Nein, du hast es falsch verstanden.
Ich habe auf meinem PC Antivir von Avira. Habe jetzt auf meinem neuem U3 Stick Avast Portable installiert, dass sich automatisch startet, wenn man den Stick ins PC steckt. Wenn das passiert, dann scannt Avast seine Umgebung (es weiß ja nicht, dass das der Heim PC ist, der sicher ist) und bei dem Scann tritt der Fehler auf. Sprich Antivir (das auf meinem PC ja ist) moniert, dass er ein Virus/Trojaner gefunden hat.
Das passiert halt nur wenn Avast von dem USB Stick aus, die Umgebung 'sondiert' ^^

Und die monierte Datei ist halt in dem Ordner
C:\Dokumente und Einstellungen\mein AccName auf dem PC\Lokale Einstellungen\Temp\_avast4_\unp67322807.tmp und heißt TR/Crypt.XPACK.Gen


Ich hoffe, jetzt ist so weit klar ^^

 

[sabermaul]

Das ist dann wie, wenn man mehrere Antivirenprogramme installiert -> sie sehen sich gegenseitig als Virus an. Wobei, die Scanner sind ja vom gleichen Hersteller - da kapiere ich nicht, weshalb der dann einen Trojaner findet?!

Warte mal auf neue Signaturen, bzw. schreib mal Avast an.