Habe ich mir den Trojaner TR/Crypt.NSPM.Gen

FCKW36 · 05.04.2009, 15:28

Hallo,

ich habe neulich einen "Anwendung" erhalten. Diese enthält laut Avira den Trojaner: TR/Crypt.NSPM.Gen. Ich habe die "Anwendung" auch schon mit "virustotal.com" getestet. Hier fanden 78% der Programme einen Virus bzw. Trojaner in der "Anwendung". Kasperky und etrust haben bei virustotal als einer der wenigen Programme keinen Trojaner oder der Gleichen angezeigt.

Nun habe ich Angst, dass sich mein Rechner trotzdem mit einem Trojaner infiziert hat. Vllt. kann sich ja mal jemand mit Ahnung davon, die HijackThis Log-File überprüfen und posten, ob dort was verdächtiges zu finden ist. Danke schonmal im Voraus.

MfG FCKW36

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:08:50, on 05.04.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\ASUS\ASUS DH Remote\AsDhRemote.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Steganos Safe CBE\SteganosHotKeyService.exe
C:\Program Files\Steganos Safe CBE\fredirstarter.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Sceneo\AbsolutTV\Services\ODSBC\ODSBCApp.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Electronic Arts\EADM\Core.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Hardcopy\hardcopy.exe
C:\Programme\PcWatt\PcWatt101.exe
C:\Program Files\VolumeWheel 1.1\VolumeWheel 1.1.exe
C:\Program Files\Steganos Safe CBE\SteganosAgent.exe
C:\Windows\Explorer.EXE
C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.EXE
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Steganos Safe CBE\Safe.exe
C:\Program Files\ICQ6\ICQ.exe
C:\Users\Fabian\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: MSN Toolbar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Program Files\MSN\Toolbar\3.0.0744.0\msneshellx.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: MSN Toolbar - {1E61ED7C-7CB8-49d6-B9E9-AB4C880C8414} - C:\Program Files\MSN\Toolbar\3.0.0744.0\msneshellx.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Gainward] C:\Windows\TBPanel.exe /A
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Ai Quicker Help] "C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe" -r
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [Tray Temperature] C:\PROGRA~1\AWS\MiniBug.exe 1
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OM2_Monitor] "C:\Program Files\OLYMPUS\OLYMPUS Master 2\FirstStart.exe" /OM
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SAFECBE HotKeys] "C:\Program Files\Steganos Safe CBE\SteganosHotKeyService.exe"
O4 - HKLM\..\Run: [SAFECBE File Redirection Starter] "C:\Program Files\Steganos Safe CBE\fredirstarter.exe"
O4 - HKLM\..\Run: [MobileConnect] %programfiles%\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe /silent
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [TVBroadcast] C:\Program Files\Sceneo\AbsolutTV\SERVICES\ODSBC\ODSBCApp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [OM2_Monitor] "C:\Program Files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe" -NoStart
O4 - HKCU\..\Run: [EA Core] C:\Program Files\Electronic Arts\EADM\Core.exe -silent
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Startup: PcWatt.lnk = ?
O4 - Startup: VolumeWheel 1.1.lnk = C:\Program Files\VolumeWheel 1.1\VolumeWheel 1.1.exe
O4 - Global Startup: Hardcopy.LNK = C:\Program Files\Hardcopy\hardcopy.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Common Files\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - h**p://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC864FA7-A1AF-41A4-B298-F4877D2A6B05}: NameServer = 139.7.30.125 139.7.30.126
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Program Files\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - C:\Program Files\Sceneo\AbsolutTV\Services\PVR\PVRService.exe
O23 - Service: Vodafone Mobile Connect Service (VMCService) - Vodafone - C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe

--
End of file - 9740 bytes

raman · 05.04.2009, 16:17

Der Link zu dem Virustotal Ergebniss waere interessant, aber wenn du die "Anwendung"(welche?) nicht gestartet hast, wurdest du auch nicht infiziert...

FCKW36 · 06.04.2009, 16:08

Ja, ich habe aber versucht sie zu öffnen. Hier das Virustotal.com Ergebnis. Kann sich mal bitte jemand die Log-File anschauen und sagen, ob alles o.k. ist? Ich habe auch mal gehört, dass Vista die Anwendungen automatisch öffnet, um zu schauen was drin ist. Vllt. habe ich mich ja so infiziert?

Ergebnis: 31/38 (81.58%)

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.04.06 Virus.Win32.Small!IK
AhnLab-V3 5.0.0.2 2009.04.06 Win-Trojan/Xema.variant
AntiVir 7.9.0.138 2009.04.06 TR/Crypt.NSPM.Gen
Antiy-AVL 2.0.3.1 2009.04.06 Packed/Win32.PePatch
Authentium 5.1.2.4 2009.04.05 W32/Heuristic-210!Eldorado
Avast 4.8.1335.0 2009.04.06 Win32:Small-AMI
AVG 8.5.0.285 2009.04.06 Generic10.AFOL
BitDefender 7.2 2009.04.06 Trojan.Packed.10502
CAT-QuickHeal 10.00 2009.04.06 Trojan.PePatch.kw
ClamAV 0.94.1 2009.04.06 Backdoor.Agent-4
Comodo 1101 2009.04.06 TrojWare.Win32.Trojan.PePatch.~C
DrWeb 4.44.0.09170 2009.04.06 -
eSafe 7.0.17.0 2009.04.06 Suspicious File
eTrust-Vet 31.6.6435 2009.04.03 -
F-Prot 4.4.4.56 2009.04.05 W32/Heuristic-210!Eldorado
Fortinet 3.117.0.0 2009.04.06 Misc/CrackGame
GData 19 2009.04.06 Trojan.Packed.10502
Ikarus T3.1.1.49.0 2009.04.06 Virus.Win32.Small
K7AntiVirus 7.10.694 2009.04.06 Trojan.Win32.Small.EQQZ
Kaspersky 7.0.0.125 2009.04.06 -
McAfee 5575 2009.04.05 Generic.dx
McAfee+Artemis 5575 2009.04.05 Generic.dx
McAfee-GW-Edition 6.7.6 2009.04.06 Trojan.Crypt.NSPM.Gen
Microsoft 1.4502 2009.04.06 -
NOD32 3989 2009.04.06 probably a variant of Win32/Obfuscated
Norman 6.00.06 2009.04.06 Packed_Nspack.K
nProtect 2009.1.8.0 2009.04.06 Trojan/W32.Packed.7750
Panda 10.0.0.14 2009.04.05 Trj/QQRob.MD
PCTools 4.4.2.0 2009.04.06 Backdoor.Graybird!sd6
Rising 21.23.41.00 2009.04.03 -
Sophos 4.40.0 2009.04.06 Mal/Packer
Sunbelt 3.2.1858.2 2009.04.04 Trojan.Crypt.NSPM.Gen
Symantec 1.4.4.12 2009.04.06 Backdoor.Graybird
TheHacker 6.3.4.0.302 2009.04.06 -
TrendMicro 8.700.0.1004 2009.04.06 TROJ_AFOL.A
VBA32 3.12.10.2 2009.04.06 -
ViRobot 2009.4.6.1680 2009.04.06 Trojan.Win32.PePatch.7750
VirusBuster 4.6.5.0 2009.04.05 Packed/NSPack
weitere Informationen
File size: 7750 bytes
MD5...: f0fdec21652c5f059fe93bf576fde311
SHA1..: 1626f508449104805761cc0add69c803b0a65082
SHA256: 8d2083225d6833422e6b4083c84e7849478da45522deb9db1096d59522bfee9f
SHA512: ff10e7436e29ed22d23622e5e54cafa1896f4e5102324787a6b0586478503360
101eda8f41d624b77b9dab8988d6434da00a38e61e135db507577bd652d12891
ssdeep: 192:nYUYgJW3l0vdV+nCZ6z2wG6MILAYzFTLkIdiL1c:YU+2vDrE2wG6HMURLkkg
1c

PEiD..: * PseudoSigner 0.2 [FSG 1.0] --> Anorganix
TrID..: File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.1%)
Win16/32 Executable Delphi generic (9.3%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xd000
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.nsp0 0x1000 0xa000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.nsp1 0xb000 0x2000 0x184e 7.72 5c2205f6b21fec76d99281eedf9e9a5e
.dtn_kgn 0xd000 0x46 0x46 4.56 4c2aed93556b6b2b98b7bde8e1685018

( 1 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess

( 0 exports )

RDS...: NSRL Reference Data Set
-
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=f0fdec21652c5f059fe93bf576fde311' target='_blank'>http://www.threatexpert.com/report.aspx?md5=f0fdec21652c5f059fe93bf576fde311</a>
packers (Kaspersky): PE_Patch.PEStubOEP, NSPack
packers (Authentium): NSPack, PE_Patch
packers (F-Prot): NSPack, PE_Patch

Der Link wäre dann: http://www.virustotal.com/de/analisis/9414e1e3cd3b2f1e5ca7bc3439b98b3d

Danke schonmal im Voraus.

raman · 06.04.2009, 17:39

Oh, ein Keygen......

Der HJT Report zeigt zwar nichts sonderbares, aber HJT ist schon lange nicht mehr das Tool in Sachen Malwarefindung.
Mir persoenlich waere das Risiko zu gross, das der Keygen nicht doch mehr ist als nur ein Keygen....

Also neu aufsetzen und alle Passworte wechseln. Das man von solch "zwielichtiger" Software die Finger lassen sollte, hast du ja nun selber gemerkt.....

FCKW36 · 06.04.2009, 17:43

Danke erst mal für deine Hilfe. Also kann ich davon ausgehen, dass ich kein Trojaner hab, ja?

Ja, ich habe den Keygen bekommen. Selber runterladen würde ich es ja nie. Wieso alle Passwörter ändern?

raman · 07.04.2009, 07:03

Zitat:

Also kann ich davon ausgehen, dass ich kein Trojaner hab

Nein, oder weisst du, das die Datei neben einer Datei anzuzeigen, nicht doch im Hintergrund Malware nachgeladen hat..

Zitat:

Wieso alle Passwörter ändern?

Weil evtl. nachgeladene Malware alle Passworte geklaut haben koennte.
Es liegt an dir, was du machen willst, mir waere das Risiko definitiv zu gross!

Habe ich mir den Trojaner TR/Crypt.NSPM.Gen

Log-Analyse und Auswertung: Habe ich mir den Trojaner TR/Crypt.NSPM.Gen