crypt.cpack.gen oder ähliches

hummelma · 19.04.2008, 16:59

Hallo ihr,
ich bin neu hier und hoffe, mir kann jemand helfen: mein AntiVir hat mir vorgestern Virenfunde gemeldet:
crypt.xpack.gen und Agent.... Seit dem ist mein Rechner nicht mehr funktionsfähig (Reaktionszeiten von mehr als 5 min, Virus wird immer wieder gefunden). Die Datei: windows/system32/ftp33.dll. Meine bisherigen Schritte nach Recherchen im Netz:

Virenscanner deaktiviert (sonst habe ich 100 fund-Meldungen auf dem Bildschirm und der Rechner ist komplett lahmgelegt)

Systemwiederherstellung deaktiviert.
Rechner im abgesicherten Modus gestartet.
erneut gescannt, dabei wieder die 5 Viren gefunden, aber eine Datei davon kann nicht gelöscht werden, da keine Admin-Rechte (habe ich aber).
folglich beim Neustart wieder das selbe Problem.

Ich hoffe, mir kann jemand helfen, da ich den Rechner nicht neu aufsetzen kann, da ich meine XP-CD "verlegt habe".

Ich lese immer wieder im forum, man soll das Logfile von HijackThis hinterlegen.
Wie funktioniert das?

PS: ich bin nicht der PC-Freak, also wenn es geht, bitte für Nicht-Spezalisten formulieren.

Vielen dank schon mal.
hummelma

cosinus · 19.04.2008, 17:11

Werte die erwähnte Datei mal bei Virustotal aus und poste sämtliche Ergebnisse incl. Prüfummen - auch wenn nix gefunden wurde!

Dann erstell mal ein Hijackthis-Logfile und poste es. Folge dem Hijackthis-Link in meiner Signatur...ich würde aber noch empfehlen, hijackthis vor der Ausführung noch umzubenennen. Du kannst diese umbenannte hijackthis.exe benutzen.

hummelma · 19.04.2008, 18:41

Hallo root24,
hier die Auswertung von Virustotal (die Aufzählung der Virenscanner brauchst du wohl nicht?):
File size: 5120 bytes
MD5...: f00d56b8179157d274013a713d6f4944
SHA1..: b437df0432997205b434e9d2d9d47aa351091283
SHA256: 4c2185520a7439b33c8fab27ec54c79b6ae0cd9f179296be80fd4877b05ec096
SHA512: 95d365cee7a6958da42e272c13ba13e470502de90da736a5dcff7fdb59df8720
40dbec087be7262b10fb3d59676ebd1366a5c1f17da9bc7184b722c912d6e76a
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10109b90
timedatestamp.....: 0x47e8d7f8 (Tue Mar 25 10:46:16 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x108000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x109000 0x1000 0xe00 7.42 90bae943aa3f921d5f59718c21981095
UPX2 0x10a000 0x1000 0x200 2.35 1031f33322de2fc8b47c70b6999a4210

( 4 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect
> MSVCRT.dll: free
> USER32.dll: CallNextHookEx
> WS2_32.dll: -

( 0 exports )

packers: UPX
Bit9 info: Bit9 FileAdvisor - Search Results
packers: PE_Patch.UPX, UPX
Prevx info: FTP33.DLL - Prevx

Hier noch die LogFile von Hijackthis.
Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA

[/edit]

cosinus · 19.04.2008, 18:53

Zitat:

hier die Auswertung von Virustotal (die Aufzählung der Virenscanner brauchst du wohl nicht?):

Doch! Ich schrieb ja auch alle Ergebnisse!! Oder schlug kein Scanner an?

Es wird aber wohl u.a. wg diesem hier

O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe

nichts an dem Formatieren und Neuaufsetzen vorbeikommen. Ich vermute hier ganz stark einen Backdoor-Schädling. Hattest Du bisher kritische Sachen wie z.B. Onlinebanking etc. gemacht? Denn der Schädling kann dazu benutzt werden, um sensible Informationen auszuspähen. Werte die Datei bitte ebenfalls bei Virustotal aus und poste die Ergebnisse.

Folge danach in meiner Signatur diesen Links, wende die Programme an und poste die Logs: silentrunners - blacklight - combofix

hummelma · 19.04.2008, 19:03

Sorry,
aber ich mach das zum ersten Mal (gott sei dank).
Also hier die Auswertung von Virustotal (der spools.exe)
AhnLab-V3 2008.4.19.0 2008.04.18 -
AntiVir 7.8.0.8 2008.04.18 TR/Dldr.Small.uox
Authentium 4.93.8 2008.04.19 -
Avast 4.8.1169.0 2008.04.18 -
AVG 7.5.0.516 2008.04.19 -
BitDefender 7.2 2008.04.19 -
CAT-QuickHeal 9.50 2008.04.19 TrojanDownloader.Small.uoo
ClamAV 0.92.1 2008.04.19 -
DrWeb 4.44.0.09170 2008.04.19 -
eSafe 7.0.15.0 2008.04.17 suspicious Trojan/Worm
eTrust-Vet 31.3.5714 2008.04.19 -
Ewido 4.0 2008.04.19 -
F-Prot 4.4.2.54 2008.04.18 -
F-Secure 6.70.13260.0 2008.04.19 -
FileAdvisor 1 2008.04.19 -
Fortinet 3.14.0.0 2008.04.19 -
Ikarus T3.1.1.26.0 2008.04.19 -
Kaspersky 7.0.0.125 2008.04.19 -
McAfee 5277 2008.04.18 -
Microsoft 1.3408 2008.04.19 -
NOD32v2 3040 2008.04.19 -
Norman 5.80.02 2008.04.18 -
Panda 9.0.0.4 2008.04.19 -
Prevx1 V2 2008.04.19 LoveBoom:Worm-a
Rising 20.40.52.00 2008.04.19 -
Sophos 4.28.0 2008.04.19 Sus/UnkPacker
Sunbelt 3.0.1056.0 2008.04.17 Elkern.a (v)
Symantec 10 2008.04.19 -
TheHacker 6.2.92.284 2008.04.18 Trojan/Downloader.Small.uox
VBA32 3.12.6.4 2008.04.16 -
VirusBuster 4.3.26:9 2008.04.19 -
Webwasher-Gateway 6.6.2 2008.04.18 Trojan.Dldr.Small.uox
weitere Informationen
File size: 36292 bytes
MD5...: 0eb471ba709978258b2e46e182346eb8
SHA1..: 7b8a965ead80cb7f2b12830ff3dd0bf3fc146f7c
SHA256: 8adc122d16c96e3c7ded37c556f2eb0748db3ab146a4b9e00b81fb71813f12ba
SHA512: 38cd003d666b2ef7c5f5ca128b76c7a0a730dc9198c13b3f4bbbae74e60b1a44
3d63d8b12be15aed177a853e3badeaff0d885d14bdbf2ef9a5c6acd66627ff86
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40f067
timedatestamp.....: 0x4804d02e (Tue Apr 15 15:56:30 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.fasm 0x1000 0x6ba4 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.data_ 0x8000 0x5090 0x2c00 7.92 7b667bb4f06045c259ca8d6406f7217f
. 0xe000 0x1000 0xa00 7.67 60b61ab9fb212e144973e88631d04c28
.masm 0xf000 0x352 0x400 6.84 49ed377e5443af3c869052f2df366055
.data_ 0x10000 0x125 0x200 2.76 2f9d5bdb21ef0cad161e588a18287707

( 0 imports )

( 0 exports )

Prevx info: 57271989.EXE - Prevx

Kannst du mir noch kurz erklären, was die Aufzählung der Scanner bedeutet. Kennen die den Virus dann und können ihn beseitigen?
Gruß
hummelma

cosinus · 19.04.2008, 19:10

Bei Virustotal kannst Du eine Datei zur automatischen Auswertung hochladen. Diese Datei wird dann aber nicht von nur einem sondern gleich 32 Virenscannern untersucht, die tw. erheblich andere Erkennungsengines haben - das Ergebnis von 32 Virenscannern sagt viel mehr aus als nur das eines Scanners.

Und nein, durch Virustotal wird nichts entfernt, dieser Service ist nur da, um eben eine Datei auszuwerten, um zu wissen, um welchen Schädling es sich da handelt.

Reich das Egebnis der anderen Datei auch noch mal nach und kümmere Dich um die Logs der von mir erwähnten Programme.

hummelma · 19.04.2008, 19:44

Hallo,
hier nochmal die gesamte erste Auswertung:
AhnLab-V3 2008.4.19.0 2008.04.18 -
AntiVir 7.8.0.8 2008.04.18 TR/Agent.5120.106.A
Authentium 4.93.8 2008.04.19 -
Avast 4.8.1169.0 2008.04.18 Win32:Small-KBA
AVG 7.5.0.516 2008.04.19 Downloader.Zlob.12.S
BitDefender 7.2 2008.04.19 Trojan.Agent.Small.SVV
CAT-QuickHeal 9.50 2008.04.19 TrojanDownloader.Small.tra
ClamAV 0.92.1 2008.04.19 Trojan.Downloader-28937
DrWeb 4.44.0.09170 2008.04.19 Trojan.DownLoader.56634
eSafe 7.0.15.0 2008.04.17 -
eTrust-Vet 31.3.5714 2008.04.19 Win32/Ruternam.F
Ewido 4.0 2008.04.19 -
F-Prot 4.4.2.54 2008.04.18 W32/Downldr2.BOAM
F-Secure 6.70.13260.0 2008.04.19 Trojan-Downloader.Win32.Small.tra
FileAdvisor 1 2008.04.19 High threat detected
Fortinet 3.14.0.0 2008.04.19 -
Ikarus T3.1.1.26 2008.04.19 Trojan-Downloader.Win32.Small.tra
Kaspersky 7.0.0.125 2008.04.19 Trojan-Downloader.Win32.Small.tra
McAfee 5277 2008.04.18 Spam-Mailbot
Microsoft 1.3408 2008.04.19 -
NOD32v2 3040 2008.04.19 Win32/PSW.Agent.NHG
Norman 5.80.02 2008.04.18 W32/DLoader.GMPN
Panda 9.0.0.4 2008.04.19 Trj/Downloader.MDW
Prevx1 V2 2008.04.19 Trojan.Downloader
Rising 20.40.52.00 2008.04.19 -
Sophos 4.28.0 2008.04.19 Troj/Drop-O
Sunbelt 3.0.1056.0 2008.04.17 Trojan.Agent.5120.106.A
Symantec 10 2008.04.19 Trojan Horse
TheHacker 6.2.92.284 2008.04.18 -
VBA32 3.12.6.4 2008.04.16 Trojan-Downloader.Win32.Small.tra
VirusBuster 4.3.26:9 2008.04.19 -
Webwasher-Gateway 6.6.2 2008.04.18 Trojan.Agent.5120.106.A
weitere Informationen
File size: 5120 bytes
MD5...: f00d56b8179157d274013a713d6f4944
SHA1..: b437df0432997205b434e9d2d9d47aa351091283
SHA256: 4c2185520a7439b33c8fab27ec54c79b6ae0cd9f179296be80fd4877b05ec096
SHA512: 95d365cee7a6958da42e272c13ba13e470502de90da736a5dcff7fdb59df8720
40dbec087be7262b10fb3d59676ebd1366a5c1f17da9bc7184b722c912d6e76a
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10109b90
timedatestamp.....: 0x47e8d7f8 (Tue Mar 25 10:46:16 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x108000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x109000 0x1000 0xe00 7.42 90bae943aa3f921d5f59718c21981095
UPX2 0x10a000 0x1000 0x200 2.35 1031f33322de2fc8b47c70b6999a4210

( 4 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect
> MSVCRT.dll: free
> USER32.dll: CallNextHookEx
> WS2_32.dll: -

( 0 exports )

packers: UPX
Bit9 info: Bit9 FileAdvisor - Search Results
packers: PE_Patch.UPX, UPX
Prevx info: FTP33.DLL - Prevx

hummelma · 19.04.2008, 20:21

Hallo,
nachdem aufmeinem Rechner jetzt nix mehr geht, muss ich wohl doch
neu aufsetzen. Trotzdem vielen Dank.
Gruß
hummelma

crypt.cpack.gen oder ähliches

Plagegeister aller Art und deren Bekämpfung: crypt.cpack.gen oder ähliches