TR/Crypt.xPack.Gen macht mich Wahnsinnig

Fahli · 16.07.2008, 19:04

Hallo,

ich habe den oben genannten Trojaner mit AVIR gefunden. Ich habe vorher garnichts gemerkt, dachte mir dann aber mal das es nicht schlecht wäre nen Virus Prog zu haben. Seit dem kommen richtig Probleme.

Generell habe ich viel Spam, und er ist recht langsam geworden(der PC) . Der Trojaner verhindert viele Programme, sowohl AVIR, als auch MalwareBYTE. Dann steht da immer das kein Virus gefunden wurde usw. Das ist dann wahrscheinlich der Trojaner, da das ausgeführte Prog nicht mehr läuft. Ich habe euch mal 2 logs angehängt, Einmal Hijackthis, das andere ist von Windows.scan.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:48:30, on 16.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\carpserv.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\WINDOWS\PoolData\services.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Sony\HotKey Utility\HKWnd.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Logitech\SetPoint\kem.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\pruefung.com.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: DirectPluginX Class - {37FF719A-A736-4FAB-8CBF-7B905277648D} - C:\WINDOWS\TEMP\~util32.dll
O2 - BHO: QuickTalk 2.1 - {CF26FAC0-7D4E-46D8-AE64-B277B11443AC} - C:\WINDOWS\system32\iesearch.dll
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [ WinData] C:\WINDOWS\PoolData\services.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [_WinData] C:\WINDOWS\PoolData\services.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1194793645870
O17 - HKLM\System\CCS\Services\Tcpip\..\{5D6626E4-23C1-4D0F-AA1A-0433C13FB874}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{C5F0A89C-8136-46D7-8BEA-1634FC87F8ED}: NameServer = 212.6.108.140,212.6.108.141
O17 - HKLM\System\CCS\Services\Tcpip\..\{FB513AE1-015F-42C6-A6D7-0401BA21D9D2}: NameServer = 212.6.108.140 212.6.108.141
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O20 - Winlogon Notify: droute - C:\WINDOWS\SYSTEM32\droute.dll
O20 - Winlogon Notify: flashcft - C:\WINDOWS\SYSTEM32\flashcft.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 5554 bytes

Die 30 neuesten Dateien im Ordner Windows:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS *****
***** ***** ***** ***** *****

16.07.2008 kl80.bin 15 54:0
16.07.2008 wpa.dbl 08 12:1.158
10.07.2008 rhs.bin 20 06:6.602
10.07.2008 ksl48.bin 12 37:6
29.06.2008 ngxt.bin 19 01:7
10.04.2008 opnxp.bin 22 05:6
30.03.2008 perfh009.dat 11 02:311.938
30.03.2008 perfc009.dat 11 02:40.326
30.03.2008 perfh007.dat 11 02:317.168
16.07.2008 kl80.bin 15 54:0
16.07.2008 wpa.dbl 08 12:1.158
10.07.2008 rhs.bin 20 06:6.602
10.07.2008 ksl48.bin 12 37:6
29.06.2008 ngxt.bin 19 01:7
10.04.2008 opnxp.bin 22 05:6
30.03.2008 perfh009.dat 11 02:311.938
30.03.2008 perfc009.dat 11 02:40.326
30.03.2008 perfh007.dat 11 02:317.168
30.03.2008 perfc007.dat 11 02:48.552
30.03.2008 PerfStringBackup.INI 11 02:723.568
14.03.2008 iesearch.dll 18 40:173.518
ISDN 05.12.2007 ModemLog_AVM 23 15:4.162
ISDN 05.12.2007 ModemLog_AVM 23 15:4.610
ISDN 05.12.2007 ModemLog_AVM 23 15:4.660
ISDN 05.12.2007 ModemLog_AVM 23 15:4.620
ISDN 05.12.2007 ModemLog_AVM 23 15:4.630
ISDN 05.12.2007 ModemLog_AVM 23 15:4.632
ISDN 05.12.2007 ModemLog_AVM 23 15:4.672
ISDN 05.12.2007 ModemLog_AVM 23 15:4.642
ISDN 05.12.2007 ModemLog_AVM 23 15:5.054
11.11.2007 FNTCACHE.DAT 18 08:112.584
11.11.2007 TZLog.log 18 02:129.082
27.09.2007 MRT.exe 23 19:18.089.592
27.09.2007 rmoc3260.dll 11 46:185.688
27.09.2007 pndx5032.dll 11 46:5.632
27.09.2007 pndx5016.dll 11 46:6.656

Die 50 neuesten Dateien im Ordner Windows\system32:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32 *****
***** ***** ***** ***** *****

16.07.2008 kl80.bin 16 16:0
16.07.2008 wpa.dbl 08 12:1.158
10.07.2008 rhs.bin 20 06:6.602
10.07.2008 ksl48.bin 12 37:6
29.06.2008 ngxt.bin 19 01:7
10.04.2008 opnxp.bin 22 05:6
30.03.2008 perfh009.dat 11 02:311.938
30.03.2008 perfc009.dat 11 02:40.326
30.03.2008 perfh007.dat 11 02:317.168
30.03.2008 perfc007.dat 11 02:48.552
30.03.2008 PerfStringBackup.INI 11 02:723.568
14.03.2008 iesearch.dll 18 40:173.518
ISDN 05.12.2007 ModemLog_AVM 23 15:4.162
ISDN 05.12.2007 ModemLog_AVM 23 15:4.610
ISDN 05.12.2007 ModemLog_AVM 23 15:4.660
ISDN 05.12.2007 ModemLog_AVM 23 15:4.620
ISDN 05.12.2007 ModemLog_AVM 23 15:4.630
ISDN 05.12.2007 ModemLog_AVM 23 15:4.632
ISDN 05.12.2007 ModemLog_AVM 23 15:4.672
ISDN 05.12.2007 ModemLog_AVM 23 15:4.642
ISDN 05.12.2007 ModemLog_AVM 23 15:5.054
11.11.2007 FNTCACHE.DAT 18 08:112.584
11.11.2007 TZLog.log 18 02:129.082
27.09.2007 MRT.exe 23 19:18.089.592
27.09.2007 rmoc3260.dll 11 46:185.688
27.09.2007 pndx5032.dll 11 46:5.632
27.09.2007 pndx5016.dll 11 46:6.656
27.09.2007 pncrt.dll 11 45:278.528
22.08.2007 wininet.dll 15 13:664.576
22.08.2007 shdocvw.dll 15 13:1.494.528
22.08.2007 shlwapi.dll 15 13:474.624
22.08.2007 urlmon.dll 15 13:617.472
22.08.2007 msrating.dll 15 13:146.432
22.08.2007 mshtml.dll 15 13:3.079.168
22.08.2007 pngfilt.dll 15 13:39.424
22.08.2007 mstime.dll 15 13:532.480
22.08.2007 mshtmled.dll 15 13:449.024
22.08.2007 dxtrans.dll 15 13:205.312
22.08.2007 extmgr.dll 15 13:55.808
22.08.2007 inseng.dll 15 13:96.768
22.08.2007 iepeers.dll 15 13:251.392
22.08.2007 jsproxy.dll 15 13:16.384
22.08.2007 dxtmsft.dll 15 13:357.888
22.08.2007 cdfview.dll 15 13:152.064
22.08.2007 browseui.dll 15 13:1.022.976
22.08.2007 danim.dll 15 13:1.056.256
21.08.2007 xpsp3res.dll 12 53:123.904

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32\drivers\etc\hosts *****
***** ***** ***** ***** *****

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

Ich hoffe ihr könnt mir helfen. Hab vielen Dank

undoreal · 16.07.2008, 19:50

Hallo Fahli

Folge bitte dieser Anleitung und melde dich danach mit frischem HJT log.

Fahli · 16.07.2008, 20:21

Hi,

danke erstmal für die schnelle Hilfe.

Ein starten im abgesicherten Modus ist nicht möglich, während des startens kommt irgendwann der allseits gehaßte Blaue Bildschirm. Ich kann leider nicht sagen was für eine Fehlermeldung kommt, da es dann ziemlich schnell zum neustart kommt.

Kann ich das trotzdem alles machen im normalen modus?#

Lg Fahli

undoreal · 16.07.2008, 20:48

Ja du kannst es auch im normalen Modus durchlaufen lassen aber versuche bitte den abgesicherten Modus zu reparieren.

Schalte als erstes den automatischen Windows Neustart ab -> http://www.dirks-computerecke.de/neu...abschalten.htm
Im SUPERAntiSpyware Hauptfenster auf Preferences -> Repairs -> Repair broken Safe-Boot Key -> Perform Repair klicken und es nochmal versuchen.
Klappt es dann immer noch nicht so nutze den normalen Modus. Poste aber bitte trotzdem den Inhalt des blue Screens!

Fahli · 17.07.2008, 19:17

Hallo,

so langsam nervt das alles. Ich werde den Computer formatieren und neu aufsetzen und diverse hier gefunden Tipps nutzen, damit es nicht wieder soweit kommt.

Ich danke euch trotzdem für die Hilfe.

Fahli

undoreal · 17.07.2008, 19:38

Das ist sicherlich die beste Lösung.

Ich poste dir noch ein paar sehr nürtliche Tips.

Bereinigung nach einer Kompromitierung

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert, musst du eine Bereinigung vornehmen.
[indent]Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten![indent]

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

16.07.2008, 19:50	#2
undoreal /// AVZ-Toolkit Guru	TR/Crypt.xPack.Gen macht mich Wahnsinnig Hallo Fahli Folge bitte dieser Anleitung und melde dich danach mit frischem HJT log. __________________ __________________

TR/Crypt.xPack.Gen macht mich Wahnsinnig

Log-Analyse und Auswertung: TR/Crypt.xPack.Gen macht mich Wahnsinnig