TR/Crypt.XPACK.Gen |
Willkommen, Gast ( Anmelden | Registrierung )
TR/Crypt.XPACK.Gen |
24.05.2008, 16:33
Beitrag
#1
|
|
Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 367 Mitglied seit: 11.07.2004 Wohnort: Türkei Mitglieds-Nr.: 1.199 Betriebssystem: Vista Home Premium Virenscanner: AntiVir |
Es geht sich hier um diesen Thread ( http://www.rokop-security.de/index.php?sho...mp;#entry237205 ), brauche dringend Hilfe. Habe formatiert und kriege wieder die gleiche Meldung, nur diesmal von einer anderen Datei. Die ich auch nicht löschen kann, auch nicht im abges. Modus. Ich versteh einfach nicht, wieso ich den überhaupt kriege, nach einer Formatierung... Sobald ich im Netz bin,hab ich ihn.
ZITAT Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:29:41, on 24.05.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\a-squared Free\a2service.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\WinSnap\WinSnap.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avnotify.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.com/ie R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [ac29c151] rundll32.exe "C:\WINDOWS\system32\phxhgkqb.dll",b O4 - HKCU\..\Run: [WinSnap] C:\Programme\WinSnap\WinSnap.exe /startup O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{E8223A2A-825D-4864-9F55-7286E49784C3}: NameServer = 195.175.39.39 195.175.39.40 O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 3386 bytes Der Beitrag wurde von netsplit bearbeitet: 24.05.2008, 16:38 -------------------- In Memory my Grandma - 06.12.2004
|
|
|
24.05.2008, 17:23
Beitrag
#2
|
|
War schon oft hier Gruppe: Mitglieder Beiträge: 62 Mitglied seit: 07.05.2008 Mitglieds-Nr.: 6.869 |
Welche Datei?
Diese: C:\WINDOWS\system32\phxhgkqb.dll? Falls ja: Kannst Du diese Datei bitte einmal bei www.rapidshare.de hochladen oder bei http://virusscan.jotti.org/de/ scannen lassen? Deine Aussage "habe formatiert" klingt komisch, da Du schon wieder SEHR viele Programme installiert hast. Wenn Du wirklich Hilfe haben möchtest, solltest Du Dir bei der Problembeschreibung sehr viel Mühe geben und möglichst präzise sein. |
|
|
24.05.2008, 17:39
Beitrag
#3
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Das ist ein Vundo. Den bekommt man (meistens, nicht immer) durch den Besuch zweifelhafter Seiten, bzw durch Nutzung von Software aus nicht vertrauenswuerdigen Quellen.
Hier koennte dir Combofix helfen: Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es auf den Desktop Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die combofix.exe, lies die Informationen auf den auftauchenden Fenstern und beantworte sie danach mit Ja. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. http://www.bleepingcomputer.com/combofix/d...ix-benutzt-wird -------------------- MfG Ralf
|
|
|
24.05.2008, 18:08
Beitrag
#4
|
|
War schon oft hier Gruppe: Mitglieder Beiträge: 62 Mitglied seit: 07.05.2008 Mitglieds-Nr.: 6.869 |
"Das ist ein Vundo."
Warum bist Du Dir da so sicher? |
|
|
24.05.2008, 18:12
Beitrag
#5
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Weil das so ist!
Typisch Vundo: [ac29c151] rundll32.exe "C:\WINDOWS\system32\phxhgkqb.dll",b Fehlende O2 Eintraege, wenn Hijackthis.exe nicht umbenannt ist, Einige Vundos bezeichnet Antivir als TR/Crypt.XPACK.Gen -------------------- MfG Ralf
|
|
|
24.05.2008, 18:12
Beitrag
#6
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
War Netsplit aus der Türkei ?
O17 - HKLM\System\CCS\Services\Tcpip\..\{E8223A2A-825D-4864-9F55-7286E49784C3}: NameServer = 195.175.39.39 195.175.39.40 Das sind türkische Nameserver. -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
24.05.2008, 18:13
Beitrag
#7
|
|
War schon oft hier Gruppe: Mitglieder Beiträge: 62 Mitglied seit: 07.05.2008 Mitglieds-Nr.: 6.869 |
Ja. Genau. Er ist aus der Türkei. Steht doch in seiner Info.
|
|
|
24.05.2008, 18:22
Beitrag
#8
|
|
War schon oft hier Gruppe: Mitglieder Beiträge: 62 Mitglied seit: 07.05.2008 Mitglieds-Nr.: 6.869 |
@raman
Frage mich nur, warum er schon wieder mit Adware infiziert ist, wenn er gerade formatiert und Windows SP3 sowie zigtausend Schutzprogramme neuinstalliert hat. Das stimmt doch alles hinten unten vorne nicht, was netsplit schreibt (oder es ist unvollständig). Wenn er zum Beispiel geschrieben hätte: "Ich habe die Festplatte vollständig formatiert und dann Windows XP SP3 mit der gecrackten 7:1 ALL IN WONDER Windows XP neu aufgesetzt, könnte ich das Problem schon eher verstehen Der Beitrag wurde von _oO__Oo_ bearbeitet: 24.05.2008, 18:23 |
|
|
24.05.2008, 18:35
Beitrag
#9
|
|
Threadersteller Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 367 Mitglied seit: 11.07.2004 Wohnort: Türkei Mitglieds-Nr.: 1.199 Betriebssystem: Vista Home Premium Virenscanner: AntiVir |
Ich habe keine gecrackte Version, erstmal dazu. Ja ich habe die Festplatte vollständig formatiert, nachdem ich SP3 installiert habe, habe ich auch die ganzen Programme installiert, da ich nicht dachte das ich den Virus wieder kriege und wieder formatieren muss. Nachdem ich per Avenger die Datei löschen konnte, habe ich wieder eine Meldung von einer anderen Datei bekommen, mit dem gleichen Trojaner (Namen). Diese habe ich ebenfalls gelöscht mit avenger und nun kriege ich keine Meldung mehr. Was ich aber komisch finde, ich habe formatiert und habe trotzdem direkt diesen Virus/Trojaner drauf, wie kann sowas passieren ? Bevor ich mich das erste mal im Netz eingewählt habe, hatte ich Zonealarm installiert (vll. nützt es ja ein wenig). Naja, momentan meldet sich nichts, ich hoffe es bleibt so, aber habs immernoch nicht verstanden wie sowas passieren kann. War auch auf keine Illegalen Seiten oder derartiges.. Zu letzt, ja ich wohne derzeit in der Türkei, danke euch allen für die hilfe, aber vielleicht weiss ja einer, wieso dieser Virus kam, obwohl ich auf keiner Seite oder so war...
-------------------- In Memory my Grandma - 06.12.2004
|
|
|
24.05.2008, 18:39
Beitrag
#10
|
|
War schon oft hier Gruppe: Mitglieder Beiträge: 62 Mitglied seit: 07.05.2008 Mitglieds-Nr.: 6.869 |
Wenn auch alle sonstigen Programme, die Du nach dem Formatieren installiert hast, nicht gecracked waren und auch keine Adware enthalten, tippe ich weiterhin auf einen Fehlalarm.
Der Beitrag wurde von _oO__Oo_ bearbeitet: 24.05.2008, 18:40 |
|
|
24.05.2008, 18:46
Beitrag
#11
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Nein, ein Fehlalarm ist es nicht, dazu sind die "Begleitumstaende" zu eindeutig. Wie gesagt, nutze bitte Combofix.
Ich bezweifele nicht, das du keine Cracksoft und aehnliches nutzt. Ein Combofix Report koennte auch den Zeitpunkt der infektion zeigen. Vieleicht bringt dich das ja auf eine Idee. Sicher ist, das die Malware nicht auf deinem Rechner "gebeamt" hat. -------------------- MfG Ralf
|
|
|
24.05.2008, 18:48
Beitrag
#12
|
|
War schon oft hier Gruppe: Mitglieder Beiträge: 62 Mitglied seit: 07.05.2008 Mitglieds-Nr.: 6.869 |
@raman
Aber wenn er "Nachdem ich per Avenger die Datei löschen konnte, habe ich wieder eine Meldung von einer anderen Datei bekommen, mit dem gleichen Trojaner (Namen). Diese habe ich ebenfalls gelöscht mit avenger und nun kriege ich keine Meldung mehr." gemacht hat, kann er wahrscheinlich nichts mehr finden mit Combofix. |
|
|
24.05.2008, 19:11
Beitrag
#13
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
Vll. ist es ja ein türkischer Pedant des Bundestrojaners , der direkt vom Internet Service Provider eingespielt wird
Es liegt eigentlich auf der Hand das wenn das XPSP3 selbst nicht infiziert ist/war (z.b. ein aus dem Netz geladenes Release) und das Zonealarm auch sauber war (z.b. durch infizierte Vollversionscracks) dann hat sich der Kollege den Trojaner immernoch selbst aufgespielt, wie Raman schon sagte er wurde nicht draufgebeamt. Ein andere Möglichkeit gäbe es noch , wenn die XP CD nur das SP1 war und bis zum Einspielen des SP3 kam der Trojaner dann selbst auf den PC indem man einfach nur am Netz war . -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
24.05.2008, 19:12
Beitrag
#14
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Das kann nur ein Combofix Report zeigen. Es bleiben haeufig einige (harmlose)ini Dateien zurueck, von denen man vieleicht den Infektionszeitpunkt ablesen kann und vielleicht findet sich noch der Dropper des Vundos...
-------------------- MfG Ralf
|
|
|
25.05.2008, 00:21
Beitrag
#15
|
|
Threadersteller Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 367 Mitglied seit: 11.07.2004 Wohnort: Türkei Mitglieds-Nr.: 1.199 Betriebssystem: Vista Home Premium Virenscanner: AntiVir |
Ich habe von meiner originalen XP CD, XP draufgespielt, da man leider nicht nur das SP3 draufspielen kann, musste ich zuerst SP2 installieren, danach habe ich SP3 draufgemacht. Nachdem ich ins Netz gegangen bin, habe ich diesen Virus bekommen. Jede Software die ich auf dem PC habe, habe ich erworben (fast alles sowieso Freeware). Ich glaube kaum, das es in der Türkei eine Art Bundestrojaner gibt, ich weiss nicht ob es einen Unterschied macht, aber ich benutze hier in der Türkei, eine deutsche Windows Version.
-------------------- In Memory my Grandma - 06.12.2004
|
|
|
25.05.2008, 00:40
Beitrag
#16
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
Also war es eine XP SP1 CD und das Netzwerk war die ganze Zeit schon angeschlossen gewesen bis zum Aufspielen des SP2 ?
Der Beitrag wurde von bond7 bearbeitet: 25.05.2008, 00:40 -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
25.05.2008, 07:55
Beitrag
#17
|
|
Gehört zum Inventar Gruppe: Freunde Beiträge: 3.252 Mitglied seit: 21.04.2003 Mitglieds-Nr.: 51 |
Also war es eine XP SP1 CD und das Netzwerk war die ganze Zeit schon angeschlossen gewesen bis zum Aufspielen des SP2 ? Liest sich so und damit ist dann klar wo die Malware direkt nach dem formatieren her kommt! @TO: Lade dir bitte beim Bekannten oder so SP2 und SP3 herunter und formatiere dein System ohne Internetanschluß. Das SP2 und SP3 installieren und erst frühstens dann den Internetanschluß dran machen. Es gibt Malware die hat sein System mit SP1 innerhalb von 20 Sekunden infiltriert. |
|
|
26.05.2008, 22:38
Beitrag
#18
|
|
Salmei, Dalmei, Adonei Gruppe: Mitglieder Beiträge: 4.871 Mitglied seit: 28.05.2003 Mitglieds-Nr.: 95 |
Und wie geht es weiter ?
Catweazle -------------------- Ich habe keine Homepage, wers nicht glaubt:
http://catweazle.hat-gar-keine-homepage.de/ Spend most of my time in a state of Dementa wondering where I am. |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 24.06.2024, 07:51 |