TR/Crypt.XPACK.Gen Einstellungen

[netsplit]

Es geht sich hier um diesen Thread ( http://www.rokop-security.de/index.php?sho...mp;#entry237205 ), brauche dringend Hilfe. Habe formatiert und kriege wieder die gleiche Meldung, nur diesmal von einer anderen Datei. Die ich auch nicht löschen kann, auch nicht im abges. Modus. Ich versteh einfach nicht, wieso ich den überhaupt kriege, nach einer Formatierung... Sobald ich im Netz bin,hab ich ihn.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:29:41, on 24.05.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\WinSnap\WinSnap.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avnotify.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ac29c151] rundll32.exe "C:\WINDOWS\system32\phxhgkqb.dll",b
O4 - HKCU\..\Run: [WinSnap] C:\Programme\WinSnap\WinSnap.exe /startup
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{E8223A2A-825D-4864-9F55-7286E49784C3}: NameServer = 195.175.39.39 195.175.39.40
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 3386 bytes

Der Beitrag wurde von netsplit bearbeitet: 24.05.2008, 16:38

[_oO__Oo_]

Welche Datei?

Diese: C:\WINDOWS\system32\phxhgkqb.dll?

Falls ja: Kannst Du diese Datei bitte einmal bei www.rapidshare.de hochladen oder bei http://virusscan.jotti.org/de/ scannen lassen?

Deine Aussage "habe formatiert" klingt komisch, da Du schon wieder SEHR viele Programme installiert hast. Wenn Du wirklich Hilfe haben möchtest, solltest Du Dir bei der Problembeschreibung sehr viel Mühe geben und möglichst präzise sein.

[raman]

Das ist ein Vundo. Den bekommt man (meistens, nicht immer) durch den Besuch zweifelhafter Seiten, bzw durch Nutzung von Software aus nicht vertrauenswuerdigen Quellen.

Hier koennte dir Combofix helfen:

Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es auf den Desktop
Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die combofix.exe, lies die Informationen auf den auftauchenden Fenstern und beantworte sie danach mit Ja.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
http://www.bleepingcomputer.com/combofix/d...ix-benutzt-wird

[_oO__Oo_]

"Das ist ein Vundo."

Warum bist Du Dir da so sicher?

[raman]

Weil das so ist!


Typisch Vundo:

[ac29c151] rundll32.exe "C:\WINDOWS\system32\phxhgkqb.dll",b

Fehlende O2 Eintraege, wenn Hijackthis.exe nicht umbenannt ist, Einige Vundos bezeichnet Antivir als TR/Crypt.XPACK.Gen

[Voyager]

War Netsplit aus der Türkei ?

O17 - HKLM\System\CCS\Services\Tcpip\..\{E8223A2A-825D-4864-9F55-7286E49784C3}: NameServer = 195.175.39.39 195.175.39.40

Das sind türkische Nameserver.

[_oO__Oo_]

Ja. Genau. Er ist aus der Türkei. Steht doch in seiner Info.

[_oO__Oo_]

@raman

Frage mich nur, warum er schon wieder mit Adware infiziert ist, wenn er gerade formatiert und Windows SP3 sowie zigtausend Schutzprogramme neuinstalliert hat. Das stimmt doch alles hinten unten vorne nicht, was netsplit schreibt (oder es ist unvollständig). Wenn er zum Beispiel geschrieben hätte: "Ich habe die Festplatte vollständig formatiert und dann Windows XP SP3 mit der gecrackten 7:1 ALL IN WONDER Windows XP neu aufgesetzt, könnte ich das Problem schon eher verstehen

Der Beitrag wurde von _oO__Oo_ bearbeitet: 24.05.2008, 18:23

[netsplit]

Ich habe keine gecrackte Version, erstmal dazu. Ja ich habe die Festplatte vollständig formatiert, nachdem ich SP3 installiert habe, habe ich auch die ganzen Programme installiert, da ich nicht dachte das ich den Virus wieder kriege und wieder formatieren muss. Nachdem ich per Avenger die Datei löschen konnte, habe ich wieder eine Meldung von einer anderen Datei bekommen, mit dem gleichen Trojaner (Namen). Diese habe ich ebenfalls gelöscht mit avenger und nun kriege ich keine Meldung mehr. Was ich aber komisch finde, ich habe formatiert und habe trotzdem direkt diesen Virus/Trojaner drauf, wie kann sowas passieren ? Bevor ich mich das erste mal im Netz eingewählt habe, hatte ich Zonealarm installiert (vll. nützt es ja ein wenig). Naja, momentan meldet sich nichts, ich hoffe es bleibt so, aber habs immernoch nicht verstanden wie sowas passieren kann. War auch auf keine Illegalen Seiten oder derartiges.. Zu letzt, ja ich wohne derzeit in der Türkei, danke euch allen für die hilfe, aber vielleicht weiss ja einer, wieso dieser Virus kam, obwohl ich auf keiner Seite oder so war...

[_oO__Oo_]

Wenn auch alle sonstigen Programme, die Du nach dem Formatieren installiert hast, nicht gecracked waren und auch keine Adware enthalten, tippe ich weiterhin auf einen Fehlalarm.

Der Beitrag wurde von _oO__Oo_ bearbeitet: 24.05.2008, 18:40

[raman]

Nein, ein Fehlalarm ist es nicht, dazu sind die "Begleitumstaende" zu eindeutig. Wie gesagt, nutze bitte Combofix.

Ich bezweifele nicht, das du keine Cracksoft und aehnliches nutzt. Ein Combofix Report koennte auch den Zeitpunkt der infektion zeigen. Vieleicht bringt dich das ja auf eine Idee. Sicher ist, das die Malware nicht auf deinem Rechner "gebeamt" hat.

[_oO__Oo_]

@raman

Aber wenn er "Nachdem ich per Avenger die Datei löschen konnte, habe ich wieder eine Meldung von einer anderen Datei bekommen, mit dem gleichen Trojaner (Namen). Diese habe ich ebenfalls gelöscht mit avenger und nun kriege ich keine Meldung mehr." gemacht hat, kann er wahrscheinlich nichts mehr finden mit Combofix.

[Voyager]

Vll. ist es ja ein türkischer Pedant des Bundestrojaners , der direkt vom Internet Service Provider eingespielt wird

Es liegt eigentlich auf der Hand das wenn das XPSP3 selbst nicht infiziert ist/war (z.b. ein aus dem Netz geladenes Release) und das Zonealarm auch sauber war (z.b. durch infizierte Vollversionscracks) dann hat sich der Kollege den Trojaner immernoch selbst aufgespielt, wie Raman schon sagte er wurde nicht draufgebeamt. Ein andere Möglichkeit gäbe es noch , wenn die XP CD nur das SP1 war und bis zum Einspielen des SP3 kam der Trojaner dann selbst auf den PC indem man einfach nur am Netz war .

[raman]

Das kann nur ein Combofix Report zeigen. Es bleiben haeufig einige (harmlose)ini Dateien zurueck, von denen man vieleicht den Infektionszeitpunkt ablesen kann und vielleicht findet sich noch der Dropper des Vundos...

[netsplit]

Ich habe von meiner originalen XP CD, XP draufgespielt, da man leider nicht nur das SP3 draufspielen kann, musste ich zuerst SP2 installieren, danach habe ich SP3 draufgemacht. Nachdem ich ins Netz gegangen bin, habe ich diesen Virus bekommen. Jede Software die ich auf dem PC habe, habe ich erworben (fast alles sowieso Freeware). Ich glaube kaum, das es in der Türkei eine Art Bundestrojaner gibt, ich weiss nicht ob es einen Unterschied macht, aber ich benutze hier in der Türkei, eine deutsche Windows Version.

[Voyager]

Also war es eine XP SP1 CD und das Netzwerk war die ganze Zeit schon angeschlossen gewesen bis zum Aufspielen des SP2 ?

Der Beitrag wurde von bond7 bearbeitet: 25.05.2008, 00:40

[Lucky]

Also war es eine XP SP1 CD und das Netzwerk war die ganze Zeit schon angeschlossen gewesen bis zum Aufspielen des SP2 ?

Liest sich so und damit ist dann klar wo die Malware direkt nach dem formatieren her kommt!


@TO:
Lade dir bitte beim Bekannten oder so SP2 und SP3 herunter und formatiere dein System ohne Internetanschluß. Das SP2 und SP3 installieren und erst frühstens dann den Internetanschluß dran machen. Es gibt Malware die hat sein System mit SP1 innerhalb von 20 Sekunden infiltriert.

[Catweazle]

Und wie geht es weiter ?

Catweazle