Trojanische Pferd TR/Crapt.XPACK.Gen

GIGI · 28.06.2008, 13:01

Sers @all! Beim starten des Spiels "Civilization III" öffnet sich Avira AntiVir und bringt mir diese Meldung:

C:\Users\Frank\AppData\Local\Temp\NIL32.dll
Ist das Trojanische Pferd TR/Crapt.XPACK.Gen

Die Datei kann nicht gelöscht werden und direkt auf der Platte finde ich sie auch nicht. Hier schonmal die Logfile. Ich hoffe mir kann jemand helfen.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:53:35, on 28.06.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Program Files\Atheros\ACU.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\avmwlanstick\FRITZWLANMini.exe
C:\Windows\System32\rundll32.exe
C:\Windows\ehome\ehtray.exe
C:\Users\Frank\AppData\Local\eeaggequk.exe
C:\Windows\System32\rundll32.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\DllHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Yahoo! Deutschland
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Yahoo! Deutschland
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Yahoo! Deutschland
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [ACU] "C:\Program Files\Atheros\ACU.exe" -nogui
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AVMWlanClient] C:\Program Files\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [eeaggequk] c:\users\frank\appdata\local\eeaggequk.exe eeaggequk
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O13 - Gopher Prefix:
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\Windows\system32\acs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Program Files\avmwlanstick\WlanNetService.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

--
End of file - 5531 bytes

Der Trojaner wird in dieser Datei gefunden.
C:\Users\Frank\AppData\Local\Temp\NIL32.dll

schrauber · 28.06.2008, 13:32

hi,

Zitat:

c:\users\frank\appdata\local\eeaggequk.exe
C:\Users\Frank\AppData\Local\Temp\NIL32.dll

diese dateien bitte bei virustotal scannen lassen und die ergebnisse hier posten.

gruß

schrauber

Silent sharK · 28.06.2008, 13:37

Sollte False Positive sein.
mfg

schrauber · 28.06.2008, 13:42

@Dark Viruz

neige auch dazu,aber sicher ist sicher

falls false positive kann er sie ja zu antivir schicken.

GIGI · 28.06.2008, 13:43

Keiner dieser beiden Dateien sind in dem Ordner ersichtlich.

Versteckte Dateien anzeigen ist aktiviert.

Bin irgendwie ratlos!!! Kann die Dateien daher nicht bei virustotal hochladen.

schrauber · 28.06.2008, 13:56

kannst du auch die systemdateien sehen?

starte mal das spiel,dann sind die dateien vielleicht da. und such die dateien nicht,sondern kopier aus der codebox oben den pfad direkt in die leiste bei virustotal.

gruß

schrauber

Silent sharK · 28.06.2008, 14:04

Ich habe schonmal nen Fall mit dem Spiel gesehn.
Update mal AntiVir, bzw. mach das Produktupdate
Normal sollte es dann wieder OK sein.
mfg

GIGI · 28.06.2008, 14:14

Datei: NIL32.dll

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.27.1 2008.06.27 -
AntiVir 7.8.0.59 2008.06.27 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.06.27 -
Avast 4.8.1195.0 2008.06.28 -
AVG 7.5.0.516 2008.06.28 -
BitDefender 7.2 2008.06.28 -
CAT-QuickHeal 9.50 2008.06.28 -
ClamAV 0.93.1 2008.06.28 -
DrWeb 4.44.0.09170 2008.06.28 -
eSafe 7.0.17.0 2008.06.26 Suspicious File
eTrust-Vet 31.6.5911 2008.06.27 -
Ewido 4.0 2008.06.27 -
F-Prot 4.4.4.56 2008.06.27 -
F-Secure 7.60.13501.0 2008.06.26 -
Fortinet 3.14.0.0 2008.06.28 -
GData 2.0.7306.1023 2008.06.28 -
Ikarus T3.1.1.26.0 2008.06.28 Trojan.Crypt.XPACK
Kaspersky 7.0.0.125 2008.06.28 -
McAfee 5327 2008.06.27 -
Microsoft 1.3704 2008.06.28 -
NOD32v2 3224 2008.06.27 -
Norman 5.80.02 2008.06.27 -
Panda 9.0.0.4 2008.06.28 Suspicious file
Prevx1 V2 2008.06.28 Suspicious
Rising 20.50.52.00 2008.06.28 -
Sophos 4.30.0 2008.06.28 Sus/Behav-200
Sunbelt 3.0.1176.1 2008.06.26 -
Symantec 10 2008.06.28 -
TheHacker 6.2.96.362 2008.06.27 -
TrendMicro 8.700.0.1004 2008.06.27 PAK_Generic.001
VBA32 3.12.6.8 2008.06.28 -
VirusBuster 4.5.11.0 2008.06.23 -
Webwasher-Gateway 6.6.2 2008.06.28 Trojan.Crypt.XPACK.Gen
weitere Informationen
File size: 151700 bytes
MD5...: 0a2c05a21fa1fdf38216d7ce805d9c3a
SHA1..: f7cd461f71551d385d36683af0aaa57c28e6a66a
SHA256: de70d9a0ae20aa12995452d3927cb69c0ab9d41b15c2921312287793a07662a9
SHA512: 36cc03a52e629f581db689a4f058750657d584e2d4af81489663ac5f50d240d8
76fc80ebf57edd8b904d3123e88adc7f00266fce94cc3aaf0cbc99d47af47d62
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000a150
timedatestamp.....: 0x3d9050d3 (Tue Sep 24 11:47:31 2002)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1009e 0xd33b 8.00 5be45ad2bc7df1dfa0ff66804913a57a
.text 0x12000 0xb164 0x9b8c 8.00 08dd77b30f8f98bae0a69da7dc9d2a55
.rdata 0x1e000 0x1206 0xf70 7.93 43f7899ed81764574a1e9bfdd97bb0e2
.data 0x20000 0xbbbc 0x2085 7.98 7e9399bdcd98f06a245a7fadc3ccfbd9
.reloc 0x2c000 0x238a 0x1e41 7.98 802c25997dc3f3655fb702ac0344644b

( 1 imports )
> KERNEL32.dll: GetModuleHandleA, GetProcAddress, LoadLibraryA

( 0 exports )
packers (Kaspersky): PE_Patch
Prevx info: 95791013.DLL - Prevx

Silent sharK · 28.06.2008, 14:16

GIGI schick die Datei mal AntiVir: Submit your sample

Berichte, was die dir dann zurückschreiben
mfg

GIGI · 28.06.2008, 14:18

Die Datei taucht nur beim Start des Spiels auf. Sobald es gestartet ist, ist die Datei auch wieder weg.

?!?!?

Silent sharK · 28.06.2008, 14:19

Wie hast du sie dann bei virustotal hochladen können?

schrauber · 28.06.2008, 14:19

mach es so wie Dark Viruz es dir geschildert hat,dann sehen wir weiter.

gruß

schrauber

GIGI · 28.06.2008, 14:21

Verdächtige Dateien und sonstige Uploads

Vielen Dank für Ihre Submission. Im folgenden sehen Sie den derzeitigen Status der übermittelten Dateien:

Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:
Datei ID Dateiname Größe (Byte) Ergebnis
25060267 NIL32.dll 148.14 KB MALWARE

Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
Dateiname Ergebnis
NIL32.dll MALWARE

Die Datei 'NIL32.dll' wurde als 'MALWARE' eingestuft. Diese Malware wird mit einer Spezial-Erkennungsroutine des Enginemoduls erkannt.
Die oben aufgeführten Ergebnisse werden wir Ihnen zusätzlich via Email übermitteln. Sofern das Endergebnis noch nicht für alle Dateien verfügbar ist müssen Sie sich gegebenenfalls noch gedulden.

Silent sharK · 28.06.2008, 14:22

Ist das beim Hochladen gekommen?
Wenn ja, dann schreiben die Analytiker dir eine Email wenn das Ergebnis feststeht

GIGI · 28.06.2008, 14:23

Spiel gestartet, dann kam die Avira Meldung, danach dateipfad eingegeben und hochgeladen und dann erst die Meldung wieder geschlossen.

Die Meldung kam direkt nach dem Upload bei Avira!

28.06.2008, 13:42	#4
schrauber /// the machine /// TB-Ausbilder	Trojanische Pferd TR/Crapt.XPACK.Gen @Dark Viruz neige auch dazu,aber sicher ist sicher falls false positive kann er sie ja zu antivir schicken. __________________ gruß, schrauber *Proud Member of UNITE and ASAP since 2009* Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM!

28.06.2008, 13:56	#6
schrauber /// the machine /// TB-Ausbilder	Trojanische Pferd TR/Crapt.XPACK.Gen kannst du auch die systemdateien sehen? starte mal das spiel,dann sind die dateien vielleicht da. und such die dateien nicht,sondern kopier aus der codebox oben den pfad direkt in die leiste bei virustotal. gruß schrauber __________________ --> Trojanische Pferd TR/Crapt.XPACK.Gen

28.06.2008, 14:19	#12
schrauber /// the machine /// TB-Ausbilder	Trojanische Pferd TR/Crapt.XPACK.Gen mach es so wie Dark Viruz es dir geschildert hat,dann sehen wir weiter. gruß schrauber __________________ gruß, schrauber *Proud Member of UNITE and ASAP since 2009* Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM!

Trojanische Pferd TR/Crapt.XPACK.Gen

Log-Analyse und Auswertung: Trojanische Pferd TR/Crapt.XPACK.Gen