Über Gott und die Welt

Siehe neueste
Trojaner TR/Crypt.xPack.Gen2
Gehe zu Lösung
Rennsau
Digitalisierer

Kämpfe seit Tagen mit dem Trojaner : TR/Crypt.XPack.Gen 2.  Das Sicherheitspaket erkennt den Trojaner und meldet sich um ihn zu entfernen Rechner neu starten. Also neu gestartet und nach einiger Zeit ca. 1 Stunde war er wieder da. Bremst voll das System aus und die Startzeit von Programmen wird immer länger und das Ram wird immer mehr belegt. Nachforschungen im IE ergaben das dieser Trojaner nur 32 Bit Systeme befällt. Habe aber ein reines 64 Bit System. Die dazugehörigen Tmp Dateien auch gefunden, aber ein Entfernen hilft hier auch nichts. Nach Installation von SpyHunter 5 und scannen aller Dateien wurde dieses Programm auch fündig. Werde die 48 Stunden abwarten um zu sehen ob dieses Programm es schafft den Trojaner zu killen. (Nach 48 Stunden bekommt man eine Freischaltung um alle gefundenen Trojaner automatisch zu entfernen. Dieser Trojaner schreibt sich um, mit einem neuen Namen und trägt sich dann auch noch an etlichen Stellen in der Registrie ein so dass man keine Chance hat diesen zu finden. Geschweige an welche exe Datei er sich eingenistet hat. Das Sicherheitspaket bringt es auch nicht fertig den Trojaner zu entfernen. Hat einer eine Idee diesem Parasitten den Hals um zu drehen. Natürlich auch alle Möglichkeiten im abgesicherten Modus ausprobiert. 

Mehr anzeigen
1 Akzeptierte Lösung

Akzeptierte Lösungen
Rennsau
Digitalisierer

Nach langem suchen ist es mir gelungen den Trojaner zu killen. Da es hieß das er nur 32 Bit Systeme befalle, habe ich versucht, da ich ja ein 64 Bit System habe, heraus zu bekommen welche Programme in 32 Bit bei mir sich eingetragen haben und dem System vorgaukeln sie wären 64 Bit. Durch einen Zufall habe ich gefunden das von Office MS noch viele Fragmente von alten Office installationen auf dem Rechner waren und nätürlich auch in der Registry standen. Nach suchen fand ich ein Programm bei MS das den Rechner Scannt nach alten 32 Bit Teilen von Office. Also die Datei SetupProd_OffScrube.exe downgelodet und ausgeführt. Als erstes zeigt dieses Programm von Office im 32 Bit Modus die vorhanden sind. Nach Bestätigung kann man dann ein Programm nach dem andern entfernen lassen ohne das ein Rest zu finden ist. Danach war natürlich Office 365 beschädigt. Nicht reparieren lassen sondern komplett vernichten und vom eigenen Konto wieder installieren. Danach den Temporären Ordner in Windows leeren und auch den Papierkorb. Jetzt sollte man einen Neu Start machen. Dann testen ob Office gut läuft. Der Start von Word , Excel usw. ist um das etliche schneller. Danach bis Heute keine Meldung wegen Trojaner und das Ram wird nur noch mit 30% benutzt was davor bei über 50% lag. Corel Programme sind zum Teil in Mitleidenschaft beroffen. Kommen mit Fehlermeldung. Durch die Reparaturfunktion bei Corel kann man dann alle Programme wieder zum laufen bringen. Da zu zählt auch Paint Shop Pro. Danach sollte man als Admin in der Eingabeaufforderung DISM.exe /Online /Cleanup-image /Restorehealth machen. Es wird dadurch das neueste Abbild geschrieben von Windows. Jetzt sollte noch eine Reparatur der Systemdateien erfolgen. Befehl als Admin in der Eingabeaufforderung sfc /SCANNOW eingeben und nun wird ihr System repariert und im Schluß kommt dann einlängeres  Protokol in dem steht was defekt war. Natürlich ist danach ein Neustart von Nöten. Seitem ist der Trojaner per dü.

Lösung in ursprünglichem Beitrag anzeigen

Mehr anzeigen
8 Antworten 8
mason
SuperUser

Daten sichern und Rechner neu installieren ist das einzige, nachdem du dir sicher sein kannst, den trojaner los zu sein.

Unter Umständen hast du nochmehr, aber bislang unerkannt schadsoftware auf dem Rechner.

Die Daten würde ich nach der Sicherung auch mit verschiedenen Programmen nochmals scannen.

Mehr anzeigen
Rennsau
Digitalisierer

Danke für den Rat aber das löst nicht das Problem wirklich. Habe alle Trojaner gefunden und auch schon vernichtet.  Nur der Trojaner Crypt.XPACK.Gen2 lässt sich nicht entfernen. Habe den Rechner leer geräumt und habe nur eine Grafikkarte und eine Festplatte und ein CD Laufwerk drin. Festplatte war neu. Ohne Online Anschluss habe ich dann von einer Original MS CD das Betriebsystem installiert. Die Freischaltung über Telefon direkt bei MS gemacht. Der Erfolg war das nach ca. 1 Stunde der Virus wieder da war. Das einzige was ich noch in Verdacht habe ist das sich der Trojaner im Ram der Grafikkarte versteckt. Oder an einer anderen Stelle im Board. Die Ram Bausteine auf dem Board hatte ich auch getauscht. Kann auch ein Trojaner sich im Controller vom Board einnisten? South and North bridge dürften sauber sein. CPU habe ich eine andere eingebaut. Werde heute mit dem Ozzi die mir bekannten Parameter ausmessen. Rechner lässt sich ganz normal Booten ohne Fehlermeldung. Indexer.exe, a3rRjDr1aNVpNa.exe, _ex-68.exe, wxywsrogbek.ex ,setup.exe, zaberg.exe wurden die Prozesse abgebrochen und zum Teil auch entfernt. Auch den Link CPAIEAddOn.dll gelöscht. Bekomme heute ein Sicherheitsprogramm welches sich nur um diesen Trojaner kümmert. Mal sehen ob das Programm es schaft.

Mehr anzeigen
Andre
Moderator

Hey Rennsau,

dass ein Trojaner sich im Ram von der Grafikkarte absetzt , halt ich doch eher für unwahrscheinlich.

Ich geh eher davon aus , dass der Plagegeist auf der Festplatte überlebt hat .
Ggf. irgendwo im MBR , irgendeiner Partition die nicht sauber formatiert wurde.

Am einfachsten? Neue Festplatte/SSD.
Ansonsten sauber vollständig formatieren.

Der Versuch einen einmal kontaminierten Rechner wirklich komplett zu säubern, ist in der Regel zum scheitern verurteilt.

LG,

Andre



Netz-Assistent How To Hilfe !

Bewertet hilfreiche Beiträge mit Likes und Sternen!
Unaufgeforderte PNs werden nicht beantwortet - Bitte erstellt einen Thread. Die Community hilft!
#bleibtgesund

Mehr anzeigen
Rennsau
Digitalisierer

Bei einem Rechner mit 100 TB Speicherplatz überlegt man sich doch sehr ob man das OS wieder neu installiert. MBR war auch erst mein Gedanke und auch SFC /SCANNOW. Aber nach manueller Durchforstung der Registrie konnte ich langsam den Ort finden wo sich der Trojaner unter welchen Name er sich getarnt hatte. Durch editieren der entsprechenden .tmp Datei bin ich dann fündig geworden. Das Elemenieren war dann  einfacher aber wo war das Schlupfloch.  Da ich des Öfteren mit Kunden online Daten zur Freigabe tausche ist an einer Stelle ein Port offen geblieben. Da ich Film und O-Ton Bearbeitung für andere mache habe ich natürlich immer eine Datensicherung gemacht auf einem Zusatzrechner mit Bandlaufwerk. Also die Kundenaufträge waren sicher. Aber die Software die man zum Filmbearbeiten braucht macht viel Arbeit wieder aufzuspielen. 16mm Filmmaterial zu digitalisieren braucht man sehr viel Platz. SSD Festplatten in der Größe kosten leider noch sehr viel Geld und machen bei sehr großen Dateien oft Probleme. Cinema von Maxon (3D) hat so auch seine Tücken mit vielen Texturen. Auch der Netzanschluß 4 Ports über eine voll Duplexkarte birgt natürlich auch Gefahren mit sich. Habe eine neue Whit- und Black - Liste geschrieben. Natürlich ist die Liste nur so gut wie man sie pflegt. Nach gut 50 Stunden Arbeit rennt der PC wieder wie gewohnt. freue mich sehr das mir als alter Fuchs aus der Dos Zeit es mir gelungen ist den faulen Zahn zu ziehen. 

Mehr anzeigen
Rennsau
Digitalisierer

Habe seit einiger Zeit auf meinem Rechner den Trojaner TR/Crypt.xPack.Gen2. Das Sicherheitscenter schickt die betroffene Tmp Datei immer in die Quarantäne z.B. tmp00006e27. Aber das ist nicht die Lösung weil sich kurz oder lang wieder eine neue Datei bildet. Natürlich eine 0 Kb Datei aber das sagt ja überhaupt nichts. Ich vermute das der Trojaner in einer Autostartdatei bzw in einer Systemdatei sitzt. Norten 360 kann ihn noch nicht einmal finden und Norten Erase findet auch nichts. Aber er ist da...aber wo. Das Betriebssystem Win 10/64 möchte ich nicht neu aufspielen da ich dann alle Programme ja mit entfernen müsste. Alles wieder einspielen würde gut 2 Wochen dauern. Nach allen bis jetzt gelesenen Beschreibungen des Trojaners könnte er sich nur auf 32 Bit Systemen installieren....weit gefehlt ich habe 64 Bit. Habe schon tief unter der Motorhaube geschraubt aber er kommt immer wieder und bremst das System aus und versucht den Explorer zu blockieren. Hat einer eine Lösung schon gefunden. Er greif auch in die Konfiguration von USB 3.0 ein. Die Systemdateien von Windows sind mit  DISM.exe und SFC Scan bearbeitet. Sollte ich alle MBR´s neu schreiben lassen ?  Je länger man mit dem Rechner arbeitet um so langsamer wird er auch im Netzwerk.. Löscht man die Tmp Dateien ist der Volle Speed wieder da ca. 3- 4 Stunden und dann kommt das Sicherheitscenter und meldet das ein Trojaner in Quarantäne geschickt wurde. Mache gerade ein gesamtscann vom gesamten System was mehrere Tage dauern wird bei über 25 TB. ca. mit 20%  Dateien belegt. Mache mit dem Rechner Video Bearbeitung und Vertonung mit O-Ton. Sowie Groß Grafiken DIN A0 1200 dpi zum Plottern. Benutze auch Cinema von Maxon mit vielen Texturen für Trickfilmchen. Ich hoffe einer weis Rat wie man ohne Neu install den Frosch...Kröte....Unke finden kann.

 

Ich hab die Threads mal zusammengeführt, damit nicht zuviel Verwirrung entsteht.

Mehr anzeigen
Mav1976
SuperUser

@Rennsau, bleibe bitte bei einem Thread. Dort hat du bereits Antworten erhalten. Danke. Diesen schließe ich.

Mehr anzeigen
Claudia
Moderatorin

Hallo Rennsau,

 

Du hast Dich dazu ja schon mal Anfang Juli gemeldet. Ich fürchte, Du wirst um die Neuinstallation nicht herumkommen :/.

 

Viele Grüße,
Claudia

Alles Easy How To Hilfe !
Mehr anzeigen
Rennsau
Digitalisierer

Nach langem suchen ist es mir gelungen den Trojaner zu killen. Da es hieß das er nur 32 Bit Systeme befalle, habe ich versucht, da ich ja ein 64 Bit System habe, heraus zu bekommen welche Programme in 32 Bit bei mir sich eingetragen haben und dem System vorgaukeln sie wären 64 Bit. Durch einen Zufall habe ich gefunden das von Office MS noch viele Fragmente von alten Office installationen auf dem Rechner waren und nätürlich auch in der Registry standen. Nach suchen fand ich ein Programm bei MS das den Rechner Scannt nach alten 32 Bit Teilen von Office. Also die Datei SetupProd_OffScrube.exe downgelodet und ausgeführt. Als erstes zeigt dieses Programm von Office im 32 Bit Modus die vorhanden sind. Nach Bestätigung kann man dann ein Programm nach dem andern entfernen lassen ohne das ein Rest zu finden ist. Danach war natürlich Office 365 beschädigt. Nicht reparieren lassen sondern komplett vernichten und vom eigenen Konto wieder installieren. Danach den Temporären Ordner in Windows leeren und auch den Papierkorb. Jetzt sollte man einen Neu Start machen. Dann testen ob Office gut läuft. Der Start von Word , Excel usw. ist um das etliche schneller. Danach bis Heute keine Meldung wegen Trojaner und das Ram wird nur noch mit 30% benutzt was davor bei über 50% lag. Corel Programme sind zum Teil in Mitleidenschaft beroffen. Kommen mit Fehlermeldung. Durch die Reparaturfunktion bei Corel kann man dann alle Programme wieder zum laufen bringen. Da zu zählt auch Paint Shop Pro. Danach sollte man als Admin in der Eingabeaufforderung DISM.exe /Online /Cleanup-image /Restorehealth machen. Es wird dadurch das neueste Abbild geschrieben von Windows. Jetzt sollte noch eine Reparatur der Systemdateien erfolgen. Befehl als Admin in der Eingabeaufforderung sfc /SCANNOW eingeben und nun wird ihr System repariert und im Schluß kommt dann einlängeres  Protokol in dem steht was defekt war. Natürlich ist danach ein Neustart von Nöten. Seitem ist der Trojaner per dü.

Lösung in ursprünglichem Beitrag anzeigen

Mehr anzeigen