TR/Clic.MNB + TR/Crypt.XPACK.Gen - Hijack?

Robbie123 · 10.07.2007, 14:24

Hallo, liebe Leute, wer kann mir bei meinem (vermutlichen Hijack-Problem) helfen :

Bei geöffnetem Internet-Explorer kommt es insbesondere beim Aufruf neuer
Seiten zur Antivir-Meldung, daß einmal de Trojaner TR/Crypt.XPACK.Gen
erkannt wurde und hinund wieder auc der Trojaner TR/Click.MNB
meist öffnen sich dann neue Internet-Explorer von angeblichen Software-Anbietern, die man runterladen soll, besonders und immer wieder, der "drive cleaner" - kanns nicht mehr sehen.... - Habe schon einiges probiert, doch auch im abgesicherten Modus zeigt Antivir, daßer TR/Crypt.XPack.Gen gelöscht hätte, trotz deaktivierter Systemwiederherstellung kommt daß
Theater dann wieder....- Habe auch Ad-Aware + Spybot & Search drüberlaufen lassen, aber nix ! - Jede aufgerufene Seite im Intenet braucht zudem ca. 7 Sekunden, um den Aufbau freizugeben (blauer Balken der unteren Leiste).
Könnt Ihr mir bitte helfen ?

Habe vorsorglich Hijack-This Logfile hier :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:16:55, on 10.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\ati2evxx.exe
C:\Programme\Apoint\Apoint.exe
C:\WINDOWS\system32\Atiptaxx.exe
C:\Programme\RAM Idle\RAM_XP.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fppdis1.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Apoint\Apntex.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\D-Link\Air USB Utility\AirCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\WLAN Monitor\WLConfig.exe
C:\Programme\WLAN Monitor\accwpac.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\tmp13.tmp.exe
C:\WINDOWS\explorer.exe
C:\Downloads\HiJackThis202.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = eBay Deutschland – Der weltweite Online-Marktplatz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: (no name) - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - (no file)
O2 - BHO: (no name) - {5af46107-3974-471b-bc0b-ad28dfdaaa48} - C:\WINDOWS\system32\ANIWtxx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {87CC611A-E46C-4E3D-9323-90D69ECBA53D} - C:\WINDOWS\system32\mtxdm32.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - (no file)
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdmcks.dll
O3 - Toolbar: (no name) - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [RAM Idle Professional] C:\Programme\RAM Idle\RAM_XP.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v1] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fppdis1.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKLM\..\Run: [wlconfig] "C:\Programme\WLAN Monitor\WLConfig.exe" -autostart
O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Bild zum Bildarchiv senden - file://C:\Programme\MGI\MGI PhotoSuite III SE\Temp\MGI00000.html
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\ANIWtxx.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\ANIWtxx.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\system32\ANIWtxx.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\WINDOWS\system32\ANIWtxx.dll
O9 - Extra button: Preispiraten 2.1.2 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: eBay Homepage - {D4951B60-8FF9-4813-B716-FF3E75386E74} - http://www.preispiraten.de/cgi-bin/e...://www.ebay.de (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: ANIWtxx - C:\WINDOWS\SYSTEM32\ANIWtxx.dll
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\ati2evxx.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe

--
End of file - 10066 bytes

mmk · 10.07.2007, 14:32

Ja, Du hast Recht - Trojanische Pferde fühlen sich auf Deinem System derzeit wie zu Hause, außerdem wurde der vertrauenswürdige IP-Bereich für Server in Hong Kong freigeschaltet. Mit anderen Worten: Die Kontrolle über Dein System hast längst nicht mehr Du - es haben sie andere, solange Du Dich im Internet bewegst. Mehr dazu gleich im Detail.

Robbie123 · 10.07.2007, 14:46

Danke für die besorgniserregende Infrmation...

, Was kann ich denn
nun machen ?
Danke für Antwort !

mmk · 10.07.2007, 14:47

Zitat:

Zitat von Robbie123

Danke für die besorgniserregende Infrmation...

,

Ja, tut mir leid, aber wenn, dann sollte man die Situation so schildern, wie sie ist. Ich würde mich über so etwas auch nicht freuen, dessen sei Dir sicher.

Zitat:

Was kann ich denn
nun machen ?
Danke für Antwort !

Geht gleich weiter, einen Moment bitte!

mmk · 10.07.2007, 15:01

Code:

ATTFilter

O2 - BHO: (no name) - {5af46107-3974-471b-bc0b-ad28dfdaaa48} - C:\WINDOWS\system32\ANIWtxx.dll
O2 - BHO: (no name) - {87CC611A-E46C-4E3D-9323-90D69ECBA53D} - C:\WINDOWS\system32\mtxdm32.dll
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted IP range: 206.161.125.149

Prüf bitte die fett markierten Dateien bei Virustotal:
VIRUSTOTAL - Free Online Virus and Malware Scan

Poste hier die vollständigen Ergebnislisten.

Robbie123 · 10.07.2007, 15:29

hallo, hier das ergebnis von virus-total :
Antivirus Version Update Result
AhnLab-V3 2007.7.7.0 07.10.2007 no virus found
AntiVir 7.4.0.39 07.10.2007 no virus found
Authentium 4.93.8 07.09.2007 no virus found
Avast 4.7.997.0 07.09.2007 no virus found
AVG 7.5.0.476 07.09.2007 Obfustat.TS
BitDefender 7.2 07.10.2007 no virus found
CAT-QuickHeal 9.00 07.10.2007 no virus found
ClamAV devel-20070416 07.10.2007 no virus found
DrWeb 4.33 07.10.2007 no virus found
eSafe 7.0.15.0 07.10.2007 no virus found
eTrust-Vet 30.8.3777 07.10.2007 no virus found
Ewido 4.0 07.10.2007 no virus found
FileAdvisor 1 07.10.2007 no virus found
Fortinet 2.91.0.0 07.10.2007 no virus found
F-Prot 4.3.2.48 07.09.2007 no virus found
Ikarus T3.1.1.8 07.10.2007 no virus found
Kaspersky 4.0.2.24 07.10.2007 no virus found
McAfee 5070 07.09.2007 no virus found
Microsoft 1.2704 07.10.2007 no virus found
NOD32v2 2389 07.10.2007 no virus found
Norman 5.80.02 07.10.2007 no virus found
Panda 9.0.0.4 07.10.2007 Suspicious file
Sophos 4.19.0 07.06.2007 no virus found
Sunbelt 2.2.907.0 07.07.2007 VIPRE.Suspicious
Symantec 10 07.10.2007 no virus found
TheHacker 6.1.6.144 07.09.2007 no virus found
VBA32 3.12.0.2 07.09.2007 no virus found
VirusBuster 4.3.23:9 07.10.2007 no virus found
Webwasher-Gateway 6.0.1 07.10.2007 Win32.Malware.gen (suspicious)

Aditional Information
File size: 92726 bytes
MD5: ee10bf193a1a182c6e78e94301418e0c

2.) Ergebnis :
Complete scanning result of "mtxdm32.dll", received in VirusTotal at 07.10.2007, 16:18:51 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.7.7.0 07.10.2007 no virus found
AntiVir 7.4.0.39 07.10.2007 ADSPY/Stud.A.43
Authentium 4.93.8 07.09.2007 no virus found
Avast 4.7.997.0 07.09.2007 Win32:Trojano-3384
AVG 7.5.0.476 07.09.2007 Adware Generic2.AMI
BitDefender 7.2 07.10.2007 Adware.Stud.Y
CAT-QuickHeal 9.00 07.10.2007 no virus found
ClamAV devel-20070416 07.10.2007 Trojan.BHO-83
DrWeb 4.33 07.10.2007 no virus found
eSafe 7.0.15.0 07.10.2007 no virus found
eTrust-Vet 30.8.3777 07.10.2007 no virus found
Ewido 4.0 07.10.2007 Adware.Stud
FileAdvisor 1 07.10.2007 no virus found
Fortinet 2.91.0.0 07.10.2007 no virus found
F-Prot 4.3.2.48 07.09.2007 W32/Adware.KBB
Ikarus T3.1.1.8 07.10.2007 not-a-virus:AdWare.Win32.Stud.d
Kaspersky 4.0.2.24 07.10.2007 not-a-virus:AdWare.Win32.Stud.a
McAfee 5070 07.09.2007 no virus found
Microsoft 1.2704 07.10.2007 no virus found
NOD32v2 2389 07.10.2007 a variant of Win32/Adware.BHO.AA
Norman 5.80.02 07.10.2007 W32/Stud.AE
Panda 9.0.0.4 07.10.2007 no virus found
Sophos 4.19.0 07.06.2007 no virus found
Sunbelt 2.2.907.0 07.07.2007 no virus found
Symantec 10 07.10.2007 Adware.Webprefix
TheHacker 6.1.6.144 07.09.2007 Adware/Stud.a
VBA32 3.12.0.2 07.09.2007 suspected of Trojan-Downloader.Agent.49
VirusBuster 4.3.23:9 07.10.2007 no virus found
Webwasher-Gateway 6.0.1 07.10.2007 Ad-Spyware.Stud.A.43

Aditional Information
File size: 36555 bytes
MD5: 898e2a666681b892be55839d7cae5fa9
SHA1: 29ce974c19f4232612b33adeac659746fabe3a74
packers: UPX
packers: UPX
packers: UPX
packers: UPX

- So ist nun das Ergebnis des Checks bei Virustotal.

Was sagt der Fachmann ?

Robbie123 · 10.07.2007, 15:45

Gibt es noch Rettungschancen ?

Robbie123 · 10.07.2007, 15:56

Hallo Markus, darf ich auf Deine werte Hilfe hoffen, oder biste nicht mehr da ?

Danke für Antwort + Grüße

Robbie

mmk · 10.07.2007, 16:00

Nein, ich war für eine gewisse Zeit nicht am PC. Einen Moment bitte.

mmk · 10.07.2007, 16:07

Sende die beiden Dateien - am wichtigsten dabei ist allerdings die C:\WINDOWS\system32\ANIWtxx.dll - an virus@sicher-ins-netz.info Ich möchte sehen, um welchen Schädling es sich evtl. bei dieser Datei handelt, da das Scanergebnis unspezifisch ist.

Robbie123 · 10.07.2007, 16:30

habe Dir das Scan-Ergebnis gesand, Du wolltest die Dateien, mußte grad
wieder Antivir dauernd wegdrücken,war etwa verwirrt ! Warte bitte ca. noch einige Minuten, bis gleich...

Robbie123 · 10.07.2007, 17:24

Hy Markus, hast Du die Dateien erhalten ? Schon angesehen ?

Danke für Antwort

Robbie

mmk · 10.07.2007, 17:26

Nein, weil zunächst nur der Text der bereits bekannten Auswertung ankam, hatte ich noch nicht wieder geschaut.

Robbie123 · 10.07.2007, 18:04

hallo markus, der seiten-aufbau dauert immer länger....- warte auf deine
antwort, aber du schaust auch ?

danke für antwort

mmk · 10.07.2007, 18:20

Achtung, die folgende Maßnahme ist keine endgültig oder sicher bereinigende - sie kann allenfalls als "aktue Zwischenlösung" betrachtet werden.

Ich hatte Dir in meinem Posting von 16:01 Uhr fünf Einträge aus dem HijackThis-LogFile genannt. Um diese geht es nun:

1.) Speichere die Datei HijackThis.exe in einem separaten Ordner, zum Beispiel unter C:\Programme\HijackThis.
2.) Starte HijackThis, wähle dabei "Do a system scan only".
3.) Setze sodann Häkchen links neben den genannten fünf Einträgen. Wichtig: Nicht in der Zeile verrutschen!
4.) Schließe alle Internet Explorer und Windows Explorer Fenster.
5.) Klick abschließend auf "Fix checked", bestätige evlt. nachfolgende Abfragefenster mit "Ja" bzw. "OK".
6.) Starte das System umgehend neu.

TR/Clic.MNB + TR/Crypt.XPACK.Gen - Hijack?

Log-Analyse und Auswertung: TR/Clic.MNB + TR/Crypt.XPACK.Gen - Hijack?