Hilfe:In der Datei 'C:\Windows\System32\msqpdxybxnppxj.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen'

Bitte um Hilfe....Danke im voraus.

Hallo und

Arbeite bitte erst die Anleitung unter "Zuerst einmal" in meiner Signatur ab.
Ich nehme an du benutzt Antivir. Poste bitte das Logfile von Antivir bzw dem Programm das du benutzt.

.keNNy#

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 26. April 2009 00:48

Es wird nach 1365100 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (plain) [6.0.6000]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ELKNIFO-PC

Versionsinformationen:
BUILD.DAT : 9.0.0.387 17962 Bytes 24.03.2009 11:03:00
AVSCAN.EXE : 9.0.3.3 464641 Bytes 24.02.2009 10:13:22
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 10:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 09:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 08:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 10:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 18:33:26
ANTIVIR2.VDF : 7.1.3.63 1588224 Bytes 16.04.2009 17:14:49
ANTIVIR3.VDF : 7.1.3.110 146432 Bytes 25.04.2009 20:19:43
Engineversion : 8.2.0.156
AEVDF.DLL : 8.1.1.0 106868 Bytes 27.01.2009 15:36:42
AESCRIPT.DLL : 8.1.1.77 381306 Bytes 23.04.2009 15:57:45
AESCN.DLL : 8.1.1.10 127348 Bytes 20.04.2009 17:14:53
AERDL.DLL : 8.1.1.3 438645 Bytes 29.10.2008 16:24:41
AEPACK.DLL : 8.1.3.14 397685 Bytes 20.04.2009 17:14:52
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26.02.2009 18:01:56
AEHEUR.DLL : 8.1.0.122 1737080 Bytes 25.04.2009 17:10:33
AEHELP.DLL : 8.1.2.2 119158 Bytes 26.02.2009 18:01:56
AEGEN.DLL : 8.1.1.39 348532 Bytes 23.04.2009 15:57:43
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 12:32:40
AECORE.DLL : 8.1.6.9 176500 Bytes 20.04.2009 17:14:50
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 12:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 06:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 09:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 12:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 13:25:04
AVARKT.DLL : 9.0.0.1 292609 Bytes 09.02.2009 05:52:20
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 08:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 13:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 06:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 13:41:21
RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 09.02.2009 09:41:16
RCTEXT.DLL : 9.0.35.0 87809 Bytes 11.03.2009 13:50:50

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: aus
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Sonntag, 26. April 2009 00:48

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet002\Services\msqpdxserv.sys\modules
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\Services\msqpdxserv.sys\start
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\Services\msqpdxserv.sys\type
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\Services\msqpdxserv.sys\imagepath
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\Services\msqpdxserv.sys\group
[INFO] Der Registrierungseintrag ist nicht sichtbar.
Es wurden '55534' Objekte überprüft, '5' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HijackThis.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'w3wp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VistaStartMenu.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'volumouse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DMedia.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KBFiltr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATKOSD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACEngSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACMON.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BatteryLife.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcourier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATKOSD2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HControl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TUProgSt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccSvcHst.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GFNEXSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ASLDRSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ADSMSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppSvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccSvcHst.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '67' Prozesse mit '67' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '38' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <VistaOS>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden

kann.
Beginne mit der Suche in 'D:\' <DATA>


Ende des Suchlaufs: Sonntag, 26. April 2009 02:14
Benötigte Zeit: 1:25:35 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

14336 Verzeichnisse wurden überprüft
338626 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
338625 Dateien ohne Befall
2161 Archive wurden durchsucht
1 Warnungen
1 Hinweise
55534 Objekte wurden beim Rootkitscan durchsucht
5 Versteckte Objekte wurden gefunden

wie soll ich weiter vorgehen?

Guten Morgen.
Befolge bitte was ich dir gesagt hatte. Also Zuerst einmal in meiner Signatur
In deinem Antivir log ist doch kein Fund vermerkt

Zitat:

0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt

Lade bitte mal

Zitat:

C:\Windows\System32\msqpdxybxnppxj.dll

bei VirusTotal hoch und poste das Ergebnis oder verlinke das Ergebnis.

.keNNy#

Hallo zusammen,

habe mich hier gerade neu registriert um genau wegen des TR/Crypt.XPACK.Gen meinen eigenen kleinen Erfahrungsbericht zu schreiben.

Zuerst vielleicht ein paar kleine Eckdaten über das verwendete System, auf welchem ich leider Schwierigkeiten mit dem zuvor genannten Virus hatte.

Grafikkarte: Radeon HD4350
Prozesser: Intel CoreDuo E5200
Festplatte: Samsung 1TB (genauer Typ gerade nicht zur Hand)
Arbeitsspeicher: 4GB Infineon
Betriebssystem: Windows Vista Home Premium SP1 inklusive aller verfügbaren Updates

Ich weiß leider Gottes nicht genau, woher ich mir dieses *ironiean* wunderbare, kleine, versteckte Tool *ironieaus* besorgt habe. Nichts desto trotz galt es diesen Virus wieder zu entfernen, was sich leider Gottes mit allerhand Tools nicht bewerkstelligen lies. (Ich bitte vorweg darum, verschiedene Vorgehensweisen nicht direkt vorzuverurteilen, denn ich glaube ich spreche nicht alleine für mich, daß dieser nette Virus TR/Crypt.XPACK.Gen, einem graue Haare wachsen läßt und man so ziemlich alles mögliche und unmögliche ausprobiert, um ihn wieder loszuwerden.)

Erstmal bin ich natürlich über viele Einträge auch in diesem Forum gestolpert und habe allerhand Software durchprobiert um den Schädling auszumachen.

Virenscanner:
AVG 8.0 Free Edition (inkl. aktuellster Udates der Virendefinitions-Datei)
Avira AntiVir Free Edition (inkl. aktuellster Udates der Virendefinitions-Datei)

Beide Virenscanner schlugen bei völlig komisch lautenden TMP, DAT, DLL und SYS Files Alarm die als Beispiel: ovfsthxynivgphl heißen. Namen waren hier jedoch variierend. Auch die Endung veränderte sich immer mal wieder. Das einzige was gleich blieb, waren definitiv die Pfadangaben:

C:\WINDOWS\System32 oder C:\WINDOWS\System32\drivers

Natürlich kam als erstes die Idee auf die Verzeichnisse, so wie den kompletten Rechner auf Viren prüfen zu lassen, jedoch war es irgendwie auch nicht verwunderlich, daß beide Anti-Viren Programme keine einzige infizierte Datei ausmachen konnten. (Dies geschah mit beiden Tools nicht in Standard-Konfiguration, sondern mit Suche basieren auf hoher Heuristik, als auch auf ALLE Dateien angewandt.) Die Meldung zwischen durch, das ein Virus gefunden wurde, war jedoch fortlaufend da.

Nun gut, es gibt ja noch andere Tools, welche unter anderem auch hier im Forum genannt wurden.

Somit wurden die Scans noch durch folgende Tools erweitert:
- SpyBot - Search & Destroy
- MalwareBytes' Anti-Malware
- Sophos Anti-Rootkit
- F-Secure Blacklight
- Spyware Terminator
- Germ
- HiJackThis
- ComboFix

Zu Sophos, möchte ich an dieser Stelle sagen, daß der Download alleine überflüssig war, denn Sophos unterstützt nicht Windows Vista.

HiJackThis funktionierte als Analyse-Programm bislang immer sehr gut, jedoch mußte ich feststellen, daß es hier eine kleine Barriere zu geben scheint, denn mir wurden bei weitem nicht alle Dienste angezeigt, welche tatsächlich ausgeführt wurden. Selbst der Windows eigene Task-Manager, gab mir für ALLE Benutzer wesentlich mehr im Hintergrund laufende Dienste aus, als HiJackThis. (HiJackThis wurde ebenfalls als Administrator ausgeführt und zeigte dennoch nicht alle laufenden Tasks an!)

Ebenfalls ins leere liefen Scans mit MalwareBytes' Anti-Malware, SpyBot - Search & Destroy, F-Secure Blacklight und Spyware Terminator. Auch hier wurde nicht eine einzige Infektion festgestellt.

Ausgerechnet Windows Process Monitor gab mir Aufschluß darauf, das im Hintergrund grundsätzlich in verschiedenen Registry-Werten gearbeitet wurde.
(Microsoft Process Monitor: http://technet.microsoft.com/de-de/sysinternals/bb896645.aspx)

In regelmäßigen Intervalen wurden in der Registry Werte geschrieben und gelesen die klar zu identifizieren waren als der TR/Crypt.XPACK.Gen. Dies machte sich durch Registrierungsschlüssel wie:

HKEY_LOCAL_MACHINE\SYSTEM\Services\ovfsthxynivgphl\main\infect

(Um nur ein Beispiel zu nennen. Nun denn, sei es drum. Start -> Ausführen -> Regedit. Aber auch unter dem genannten Schlüssel war nicht zu finden. Ebenfalls versucht wurde die Windows Registrierung auf der DOS-Eben auszulesen mit Hilfe von Reg.exe. (Auch hier war das Ergebnis jedoch das gleich wie mit RegEdit!)

Nun gut, zwei Tools blieben ja noch. ComboFix und Germ. Ziemlich kurze Zeit nach dem Start von Germ wurde bereits ein Fehler gemeldet, bzw. eine potenzielle Bedrohung, mit der Frage, ob das gesamte System überprüft werden solle. Natürlich dachte ich mir, es wäre in diesem Fall nicht falsch und bestätigte einen kompletten System-Scan. Kurze Zeit darauf, fand ich mich in einem Bluescreen wieder. Nachdem Neustart des Rechners, war es dann auch um Germ geschehen, denn es hing sich direkt nach dem Start komplett weg und lies sich ebenfalls nicht mehr beenden. (Weder per normalem Versuch es zu schließen, noch über den Task-Manager!)

Somit war die Suche und die Maßnahmen mittlerweile rapide auf ein einziges Tool zurück gewichen: ComboFix. Nun denn...

ComboFix gestartet und es wurde ziemlich schnell eine Rootkit-Aktivität erkannt, der Rechner mußte neu gestartet werden. Nachdem Neustart, schritt der Scan-Vorgang weiter vorran. Ein kleiner innerer Jubel war schon da, als das Rootkit, laut Ausgabe von ComboFix am Bildschirm entfernt wurde, jedoch sollte dieser nicht lange anhalten. Nach dem Neustart des Rechners, war das Rootkit nämlich in veränderter Version wieder da. Die gleichen Meldungen, jedoch hatte sich der Dateiname verändert. Es ging also wieder von vorne los. Nach "erfolgreichem" Einsatz von ComboFix, lies sich dann auch einmalig wieder Germ starten. (Beim zweiten Versuch, hing es sich wieder auf, wie zuvor bereits!) Auch mit Microsofts' Process Monitor war klar zu sehen, daß der TR/Crypt.XPACK.Gen immer noch, nach wie vor aktiv war.

Vorletzter Versuch, welchen ich unternahm, war ein uralter Blog von vor einem Jahr: http://blog.chip.de/0-security-blog/neues-altes-rootkit-knackt-windows-vista-20080108/ - Und ich möchte dazu anmerken, das auch dieser NICHT half. Denn nach dem normalen Start des Rechners, ging alles wieder von vorne los.

Letzter Versuch: Systemwiederherstellung, was ebenfalls misslang da komischer weise immer eine Datenträgerfehler ausgegeben wurde. (Lief zu vor grundsätzlich ohne Schwierigkeiten.)

Fazit: Ich bin den guten TR/Crypt.XPACK.Gen ausschließlich durch ein neu aufsetzen des Systems losgeworden. Ob das all die Mühe wert war weiß ich nicht, aber vielleicht hilft das hier, einige davon abzuhalten Stunden um Stunden zu verschwenden.

Daten sichern -> Windows neu drauf -> Daten wieder zurückholen (Vor Rückholung allesamt scannen!)

mfg ElDragon

Hallo El dragon.
Also zunächst einmal ist was falsch gelaufen in deinem "Sicherheits" Konzept^^
Du hast/hattest 2 Antivirenprogramme MIT Hintergrundwächter installiert. Böser Fehler
Da kanns Probleme geben. Malwarebytes SUPERAntiSpyware zb haben KEINEN Hintergrundwächter.
So ich hab dein Beitrag auch erstmal nur überflogen aber hast du mal nach "beseitigung" des Schädlings versucht die Systemwiederherstellung auszuschalten-->neustart-->wieder anschalten?
Oder hast du nur versucht nen alten Punkt aufzuspielen?
Der könnte nämlich auch infiziert worden seien
Naja jetzt ja egal.

.keNNy#

Moin Kenny

Zu meiner Verteidigung betreffend der Virenscanner: Das zwei Virenscanner bei paralleler Nutzung nicht wirklich effektiv sind, ist mir durchaus bewußt, aber ich sagte auch nicht, daß ich sie parallel verwendet habe.

Betreffend der Wiederherstellung, habe ich alle nicht relevanten Dienste vorweg deaktiviert, um heraus zu finden, ob sich der besagte Schädling eventuell in einem der Dienste versteckt. Jedoch blieb hier nach die Systemwiederherstellung (sprich nach erneutem anschalten!) stur. Background Scanner oder Guards sind nicht parallel gelaufen.

LG ElDragon

Edit:

Zitat:

bei VirusTotal hoch und poste das Ergebnis oder verlinke das Ergebnis.

Wird nicht funktionieren, da er die Datei weder sehen noch auswählen kann. Er wird sie höchstwahrscheinlich noch nicht mal ansatzweise finden. Sowohl auf DOS als auch auf Windows Ebene.