Trojaner "TR/Crypt.XPACK.Gen" im mikaoles Backup (für große Partition)

  • 18 Antworten
  • Neuester Beitrag
Diskutiere Trojaner "TR/Crypt.XPACK.Gen" im mikaoles Backup (für große Partition) im Custom-ROMs für HANNspree HANNSpad (SN10T1) im Bereich Root / Hacking / Modding für HANNspree HANNSpad (SN10T1).
T

tabNewbie

Neues Mitglied
Hallo zusammen,

ich wollte heute mein Hannspad mit der ICS Rom vom DRH Team flashen.
Sowohl in dem How-to Video, also auch in der Anleitung wurde darauf hingewiesen, dass ICS eine größere Partition braucht.

Dazu habe ich die verlinkte Datei zu "mikaoles Backup (für große Partition)" heruntergeladen. Dabei musste ich jedoch feststellen, dass diese mit dem Trojaner "TR/Crypt.XPACK.Gen" verseucht ist.

Auf diese Datei wird in folgenden Foren verwiesen, die beide den Trojaner in der datei "part-13.img" enthalten:

https://www.android-hilfe.de/forum/...nleitungen-drh-team-rom-fards-rom.188417.html

https://www.android-hilfe.de/forum/...7/hannspad-bootet-nicht-total-tot.290153.html


Meine Frage:
Könnt ihr dies bestätigen bzw. habt ihr einen Link zu einer Virenfreien Version? Wisst ihr zufällig was der Trojaner alles anstellt?

Danke schon mal vorab für eure Hilfe :)
 
keinea-hnung

keinea-hnung

Erfahrenes Mitglied
Da hat wohl mikaole eine schnüffel Software in sein Backup eingebaut.

Also ich denke mal, das es ein Backup von seinen Hannspad ist, und irgend wie dieser Link da rein kam. Ich würde nicht davon ausgehen, das es ein Trojaner ist.
Es sei denn, der Mikaole schnüffelt. :)

Aber was sagt dein Vieren-Programm.
Normaler weiße bekommt man doch eine Meldung, was es für ein Trojaner sein soll?!
 
M

mikaole

Gast
Keine Ahnung, was das ist. Da mein Backup ein zusammen gestelltes ist, will ich das nicht ausschliessen. Da es aber allein von meiner Quelle schon über 1000x gezogen wurde, denke ich eher nicht.
Ich habe mein Backup immer noch auf meinem Rechner und mache wöchentlich einen vollen Virenscan und bisher habe ich noch keine Meldung von meinem Scanner bekommen. Mein Backup wurde aber hier im Forum auch schon von etlichen Usern woanders hochgeladen.

Mich würde auch die Fehlermeldung deines Antiviren Programmes interessieren.

Schön wäre auch, wenn Du den DL Link von dem Du das Backup runtergeladen hast posten könntest.
Dann könnte ich das auch noch einmal down loaden und testen.
 
Zuletzt bearbeitet von einem Moderator:
Otandis_Isunos

Otandis_Isunos

Ehrenmitglied
Naja, dass ist doch ein Windows-trojaner oder nicht!?

Aber wie hast du den bitte gefunden? Und da er ja auf Android nicht lauffähig ist, kannst ihn ja auch aus dem image entfernen und zwar mit dem nandroid browser. Oder nicht!?

Denn bei einem Fund wird dir doch die Datei angezeigt die infiziert ist.
 
LouCipher

LouCipher

Ehrenmitglied
Oder die eine oder andere Datei weißt eine ähnliche Struktur auf. Kommt ja schon öfter mal vor, dass ein Virenscanner anspricht, obwohl alles OK ist.
 
O

Odakim

Stammgast
TR/Crypt.XPACK.Gen ist in sich kein Virus/Trojaner selbst, sondern eine Methode einen solchen zu verstecken.

Diese "Crypto-Packmethode" wird oft von Malware verwendet um ihre Anwesenheit zu verschleiern, denn kein Virenscanner kann "dahinter" schauen.
Allerdings wird diese Packmethode auch oft verwendet um Datenschnüfflern (wie RIAA, MPAA, GEMA, FBI, ...) zu verbergen was in dieser "laufzeitgepackten" Datei wirklich drin ist.

Daher melden die meisten Virenscanner "heuristisch" (=indirekt) bei Anwesenheit dieses Packers einen Virus/Trojaner, denn er könnte ja tatsächlich dahinter verborgen sein.

Um im Einzelfall festzustellen ob dort tatsächlich Malware verborgen ist oder "nur" ein Programm welches in der Grauzone der Legalität liegt muss man das Ganze in einer Sandbox entpacken und dann gezielt auf das Entpackte einen Virenscanner ansetzen.

Meine Erfahrung ist das 9 von 10 derartig gepackter (und heuristisch als Malware gemeldter) Dateien tatsächlich virenfrei sind.
Allerdings ist die 10te tatsächlich "echte" Malware und meist eine ziemlich miese...
 
M

mikaole

Gast
man lernt nie aus :)
 
T

tabNewbie

Neues Mitglied
Hallo zusammen,

vielen Dank für die bisherigen Beiträge.

@mikaole:
Hier die entsprechende Meldung von Avira Antivir
-----------------------------------------------------------------------
C:\Users\XYZ\Desktop\Backup-HannsPadOriginal_mikaole_11_01_12\part-13.img
[0] Archivtyp: ZIP
[WARNUNG] Unerwartetes Dateiende erreicht
--> assets/ofres10.dat.mp3
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> assets/ofres10.dat.mp3
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen


C:\Users\XYZ\Downloads\BACKUP_Mikaole_HannsPadOriginal\Backup-HannsPadOriginal\part-13.img
[0] Archivtyp: ZIP
[WARNUNG] Unerwartetes Dateiende erreicht
--> assets/ofres10.dat.mp3
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> assets/ofres10.dat.mp3
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
------------------------------------------------------------------------------


Hier die entsprechenden Download-Links:
1. Download-Center für Android-Hilfe | by Erazor
[aus dem Forum "Ice Cream Sandwich Installationsanleitungen (DRH-TEAM ROM, fards ROM)"]
2. Hannspad - Backup für NVFlash - Backup-HannsPadOriginal_mikaole_11_01_12.zip - Minus
[aus dem Forum "Hannspad bootet nicht - total tot!"]

Ich hatte beide Versionen runtergeladen. Bei beiden hat Avira Antivir angeschlagen.


Welcher von denen ist denn eigentlich dein offizieller Download-Link?

Der ursprüngliche Beitrag von 13:49 Uhr wurde um 13:51 Uhr ergänzt:

@Odakim
vielen Dank für die Beschreibung. Hört sich an sich erstmal harmlos an.

Ich habe jedoch in der Zwischenzeit die Trojaner vorsichtshalber erstmal nach folgender Anleitung entfernt:
TR/Crypt.XPack.Gen entfernen - so geht's

Kann denn jemand von euch mal die datei checken, ob es tatsächlich um eine Malware handelt?
Ich kenn mich ehrlich gesagt in diesem Gebiet nicht so wirklich aus. :(
 
Elting

Elting

Ehrenmitglied
Der Mirror bei Minus.com ist von mir!
Ich habe aber wirklich nur mikaoles Backup hier aus dem Forum runtergeladen (weiß aber ehrlich gesagt nicht mehr aus welchem Thread) und direkt als Mirror bei Minus.com hochgeladen. Geändert an der Datei hab ich nix! Ich schwöre! :wubwub:

Edit: ich hab dieses Backup auch immer noch auf der Festplatte und Antivir hat diesbezüglich noch nie angeschlagen.
 
red-orb

red-orb

Lexikon
Da ist auch nichts drin in diesem Backup denn dann würde mein Virenscanner ja ständig brüllen.
Ich geh mal von einer schlechten Heuristik-Erkennung aus die da einfach nur Blödsin meldet.
 
M

mikaole

Gast
tabNewbie schrieb:
Welcher von denen ist denn eigentlich dein offizieller Download-Link?

Keiner von beiden :) und frage mich nicht, wo meiner ist. Habe schon lange Zeit kein Hanns mehr und hier wurde so oft neu verlinkt, dass auch ich den Überblick verloren habe.
Habe gerade die Backups noch einmal neu geladen und meinen virenscanner und Malware drüber laufen gelassen und keine Meldung.
 
O

Odakim

Stammgast
Siehe hier: An alle, die TR/Crypt.XPACK.Gen noch nicht eingefangen haben - Forum - CHIP Online
und hier: http://www.gutefrage.net/frage/was-genau-bewirkt-der-trojaner-tr-crypt-xpack-gen
auch hier: http://www.pc-support-hamburg.de/pc...r-schutz-viren-malware-computer-schaedlingen/
-unter "Fehlalarme"
(auch wenn es schon etwas älter ist...)

Also vorsichtig auspacken (bloss nicht eine exe ausführen lassen sondern mit einem Packprogramm auspacken!)
Original löschen oder Dateiendung umbenennen
Dann den Virenscanner auf das Ausgepackte anwenden
 
Zuletzt bearbeitet:
red-orb

red-orb

Lexikon
also ich lade das Backup immer von Eltings Minusaccount runter und da ist nichts drin.
 
M

mikaole

Gast
na das habe ich gemacht, ausser, dass ich nicht vorsichtig war :)
Und es passiert rein garnichts.

Vielleicht solltest Du Dir mal einen anderen Virenscanner besorgen :):):)
 
red-orb

red-orb

Lexikon
wie sagt man bei uns so schön "Horch des sin Ferz"
 
T

tabNewbie

Neues Mitglied
ok. dann bin ich ja beruhigt :)


mikaole schrieb:
Vielleicht solltest Du Dir mal einen anderen Virenscanner besorgen :):):)
@mikaole:
das denke ich mittlerweile auch. ^^
-----

Welchen Virenscanner könnt ihr mir empfehlen bzw. welchen nutzt ihr eigentlich?
Also mein aktueller Virenscanner ist: "Avira Free Antivirus"
 
red-orb

red-orb

Lexikon
also ich benutze die Symantec Endpoint Protection aber ich denke die ist doch etwas zu teuer für einen einzelnen Rechner.
Ich denke es werden mehrere hier Antworten und du wirst von jedem was anderes hören.
Also meiner Meinung nach ist die Norton Internet Security nicht schlecht und auch nicht mehr so Ressourcenfressend wie die ganzen Vorgängerversionen
 
JDfense

JDfense

Stammgast
Na dann werfe ich auch noch eine kostenlose Empfehlung rein. Der Avast free antivirus läuft für mich sehr gut und ressourcenschonend, musst natürlich die windows firewall drin lassen.
Der Panda antivirus ist glaube ich auch noch kostenlos und zum gegenchecken für eine zweite Meinung nicht schlecht. Würde sowieso mal über die laut avira verseuchte Datei einen zweiten Scanner versuchen.
Den Avira hatte ich eine Weile, war mir aber zu unzuverlässig und schlägt öfter mal Fehlalarm.
Der kostenpflichtige Bitdefender war auch gut, aber braucht auch etwas mehr Ressourcen. Norton finde ich zu aufgebläht, war früher sehr gut.

Perfekten Schutz gibt es nicht, vor allem nicht wenn Du bei der Wahl der genutzen Internetseiten nicht vorsichtig bist.:scared:

PS.: Endpoint Protection - das hört sich ja an wie die ultimative Waffe. Wer angreift, wird erschossen...
 
Zuletzt bearbeitet:
red-orb

red-orb

Lexikon
JDfense schrieb:
PS.: Endpoint Protection - das hört sich ja an wie die ultimative Waffe. Wer angreift, wird erschossen...
Ja das kannst du laut sagen. Ist dafür auch nicht ganz billig und für Endverbraucher normal nicht zu bekommen


geheult vom Hanns mit dem Wolf