Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Troj/Crypt.XPACK.Gen2 (https://www.trojaner-board.de/94786-troj-crypt-xpack-gen2.html)

Gordon43 17.01.2011 00:17
Troj/Crypt.XPACK.Gen2
 
Hi @ all,

alles hat damit angefangen, dass meine Vistapartition auf einmal
nicht mehr booten konnte.

Anhand des Startprotokolls sah ich folgendes:

Code:
Loaded driver \SystemRoot\system32\ntkrnlpa.exe
Loaded driver \SystemRoot\system32\hal.dll
Loaded driver \SystemRoot\system32\kdcom.dll
Loaded driver \SystemRoot\system32\mcupdate_GenuineIntel.dll
Loaded driver \SystemRoot\system32\PSHED.dll
Loaded driver \SystemRoot\system32\BOOTVID.dll
Loaded driver \SystemRoot\system32\CLFS.SYS
Loaded driver \SystemRoot\system32\CI.dll
Loaded driver \SystemRoot\system32\drivers\Wdf01000.sys
Loaded driver \SystemRoot\system32\drivers\WDFLDR.SYS
Loaded driver \SystemRoot\system32\drivers\acpi.sys
Loaded driver \SystemRoot\system32\drivers\WMILIB.SYS
Loaded driver \SystemRoot\system32\drivers\msisadrv.sys
Loaded driver \SystemRoot\system32\drivers\pci.sys
Loaded driver \SystemRoot\System32\drivers\partmgr.sys
Loaded driver \SystemRoot\system32\DRIVERS\compbatt.sys
Loaded driver \SystemRoot\system32\DRIVERS\BATTC.SYS
Loaded driver \SystemRoot\system32\drivers\volmgr.sys
Loaded driver \SystemRoot\System32\drivers\volmgrx.sys
Loaded driver \SystemRoot\System32\drivers\mountmgr.sys
Loaded driver \SystemRoot\System32\Drivers\iaStor.sys
Loaded driver \SystemRoot\system32\drivers\atapi.sys
Loaded driver \SystemRoot\system32\drivers\ataport.SYS
Loaded driver \SystemRoot\system32\drivers\msahci.sys
Loaded driver \SystemRoot\system32\drivers\PCIIDEX.SYS
Loaded driver \SystemRoot\system32\drivers\fltmgr.sys
Loaded driver \SystemRoot\system32\drivers\fileinfo.sys
Loaded driver \SystemRoot\System32\Drivers\AsDsm.sys
Loaded driver \SystemRoot\System32\Drivers\ksecdd.sys
Loaded driver \SystemRoot\system32\drivers\ndis.sys
Loaded driver \SystemRoot\system32\drivers\msrpc.sys
Loaded driver \SystemRoot\system32\drivers\NETIO.SYS
Loaded driver \SystemRoot\System32\drivers\tcpip.sys
Loaded driver \SystemRoot\System32\drivers\fwpkclnt.sys
Loaded driver \SystemRoot\System32\Drivers\Ntfs.sys
Loaded driver \SystemRoot\system32\drivers\volsnap.sys
Loaded driver \SystemRoot\System32\Drivers\spldr.sys
Loaded driver \SystemRoot\System32\Drivers\mup.sys
Loaded driver \SystemRoot\system32\drivers\klbg.sys
Loaded driver \SystemRoot\System32\drivers\ecache.sys
Loaded driver \SystemRoot\system32\DRIVERS\hotcore3.sys
Loaded driver \SystemRoot\system32\drivers\disk.sys
Loaded driver \SystemRoot\system32\drivers\CLASSPNP.SYS
Loaded driver \SystemRoot\system32\drivers\crcdisk.sys
Loaded driver \SystemRoot\system32\DRIVERS\tunnel.sys
Loaded driver \SystemRoot\system32\DRIVERS\tunmp.sys
Loaded driver \SystemRoot\system32\DRIVERS\intelppm.sys
Loaded driver \SystemRoot\system32\DRIVERS\atikmdag.sys
Loaded driver \SystemRoot\System32\drivers\dxgkrnl.sys
Loaded driver \SystemRoot\system32\DRIVERS\atikmpag.sys
Loaded driver \SystemRoot\system32\DRIVERS\HDAudBus.sys
Loaded driver \SystemRoot\system32\DRIVERS\usbuhci.sys
Loaded driver \SystemRoot\system32\DRIVERS\usbehci.sys
Loaded driver \SystemRoot\system32\DRIVERS\NETwNv32.sys
Loaded driver \SystemRoot\system32\DRIVERS\Rtlh86.sys
Loaded driver \SystemRoot\system32\DRIVERS\ohci1394.sys
Loaded driver \SystemRoot\system32\DRIVERS\sdbus.sys
Loaded driver \SystemRoot\system32\DRIVERS\rimmptsk.sys
Loaded driver \SystemRoot\system32\DRIVERS\rimsptsk.sys
Loaded driver \SystemRoot\system32\DRIVERS\rixdptsk.sys
Loaded driver \SystemRoot\system32\DRIVERS\i8042prt.sys
Loaded driver \SystemRoot\system32\DRIVERS\kbfiltr.sys
Loaded driver \SystemRoot\system32\DRIVERS\kbdclass.sys
Loaded driver \SystemRoot\system32\DRIVERS\SynTP.sys
Loaded driver \SystemRoot\system32\DRIVERS\klmouflt.sys
Loaded driver \SystemRoot\system32\DRIVERS\mouclass.sys
Loaded driver \SystemRoot\system32\DRIVERS\cdrom.sys
Loaded driver \SystemRoot\system32\DRIVERS\CmBatt.sys
Loaded driver \SystemRoot\system32\DRIVERS\ATKACPI.sys
Loaded driver \SystemRoot\system32\DRIVERS\bfhu_cfg.sys
Loaded driver \SystemRoot\system32\DRIVERS\msiscsi.sys
Loaded driver \SystemRoot\system32\DRIVERS\rasl2tp.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndistapi.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndiswan.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspppoe.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspptp.sys
Loaded driver \SystemRoot\system32\DRIVERS\rassstp.sys
Loaded driver \SystemRoot\system32\DRIVERS\avmbtser.sys
Loaded driver \SystemRoot\system32\DRIVERS\avmbtpar.sys
Loaded driver \SystemRoot\system32\DRIVERS\termdd.sys
Loaded driver \SystemRoot\system32\DRIVERS\swenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\MarvinBus.sys
Loaded driver \SystemRoot\system32\DRIVERS\mssmbios.sys
Loaded driver \SystemRoot\system32\DRIVERS\UimBus.sys
Loaded driver \SystemRoot\System32\Drivers\Uim_IM.sys
Loaded driver \SystemRoot\system32\DRIVERS\umbus.sys
Loaded driver \SystemRoot\system32\DRIVERS\usbhub.sys
Loaded driver \SystemRoot\System32\Drivers\NDProxy.SYS
Did not load driver \SystemRoot\System32\Drivers\NDProxy.SYS
Loaded driver \SystemRoot\system32\drivers\HdAudio.sys
Loaded driver \SystemRoot\system32\drivers\RTKVHDA.sys
Loaded driver \SystemRoot\system32\DRIVERS\smserial.sys
Loaded driver \SystemRoot\system32\drivers\modem.sys
Loaded driver \SystemRoot\system32\drivers\MODEMCSA.sys
Loaded driver \SystemRoot\system32\DRIVERS\klif.sys
Loaded driver \SystemRoot\System32\Drivers\Fs_Rec.SYS
Loaded driver \SystemRoot\System32\Drivers\Null.SYS
Loaded driver \SystemRoot\System32\Drivers\Beep.SYS
Loaded driver \SystemRoot\System32\drivers\vga.sys
Loaded driver \SystemRoot\System32\DRIVERS\RDPCDD.sys
Loaded driver \SystemRoot\system32\drivers\rdpencdd.sys
Loaded driver \SystemRoot\System32\Drivers\Msfs.SYS
Loaded driver \SystemRoot\System32\Drivers\Npfs.SYS
Loaded driver \SystemRoot\System32\DRIVERS\rasacd.sys
Loaded driver \SystemRoot\system32\DRIVERS\tdx.sys
Loaded driver \SystemRoot\system32\DRIVERS\usbccgp.sys
Loaded driver \SystemRoot\system32\DRIVERS\hidusb.sys
Loaded driver \SystemRoot\system32\DRIVERS\kl1.sys
Loaded driver \SystemRoot\system32\DRIVERS\LHidFilt.Sys
Loaded driver \SystemRoot\system32\DRIVERS\smb.sys
Loaded driver \SystemRoot\system32\DRIVERS\mouhid.sys
Loaded driver \SystemRoot\system32\drivers\afd.sys
Loaded driver \SystemRoot\system32\DRIVERS\LMouFilt.Sys
Loaded driver \SystemRoot\System32\DRIVERS\netbt.sys
Loaded driver \SystemRoot\system32\DRIVERS\pacer.sys
Loaded driver \SystemRoot\system32\DRIVERS\klim6.sys
Loaded driver \SystemRoot\system32\DRIVERS\netbios.sys
Loaded driver \SystemRoot\system32\DRIVERS\wanarp.sys
Loaded driver \SystemRoot\system32\DRIVERS\rdbss.sys
Loaded driver \SystemRoot\system32\drivers\nsiproxy.sys
Loaded driver \SystemRoot\System32\Drivers\dfsc.sys
Loaded driver \SystemRoot\system32\DRIVERS\etFilter.sys
Loaded driver \SystemRoot\system32\DRIVERS\etDevice.sys
Loaded driver \SystemRoot\system32\DRIVERS\etScan.sys
Loaded driver \SystemRoot\system32\DRIVERS\monitor.sys
Loaded driver \SystemRoot\system32\drivers\luafv.sys
Loaded driver \SystemRoot\system32\DRIVERS\lltdio.sys
Loaded driver \SystemRoot\system32\DRIVERS\nwifi.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndisuio.sys
Loaded driver \SystemRoot\system32\DRIVERS\rspndr.sys
Loaded driver \SystemRoot\system32\drivers\HTTP.sys
Loaded driver \SystemRoot\System32\DRIVERS\srvnet.sys
Loaded driver \SystemRoot\system32\drivers\mrxdav.sys
Loaded driver \SystemRoot\System32\DRIVERS\srv2.sys
Loaded driver \SystemRoot\System32\DRIVERS\srv.sys
Loaded driver \SystemRoot\system32\DRIVERS\bowser.sys
Loaded driver \SystemRoot\System32\drivers\mpsdrv.sys
Loaded driver \SystemRoot\system32\DRIVERS\mrxsmb.sys
Loaded driver \SystemRoot\system32\DRIVERS\mrxsmb10.sys
Loaded driver \SystemRoot\system32\DRIVERS\mrxsmb20.sys
Loaded driver \SystemRoot\system32\drivers\peauth.sys
Loaded driver \SystemRoot\system32\drivers\regi.sys
Loaded driver \SystemRoot\System32\Drivers\secdrv.SYS
Loaded driver \SystemRoot\System32\drivers\tcpipreg.sys
Loaded driver \??\C:\Windows\System32\Drivers\LNonPnP.sys

Nach dem Start über das Avira Antivir Rescue System
wurde bei mir folgender Trojaner entdeckt:

TR/Crypt.XPACK.Gen2


Log-Auszug aus Avira Antivir Rescue System:

Avira / Linux Version 1.9.152.0
Copyright (c) 2010 by Avira GmbH
All rights reserved.
engine set: 8.2.4.140
VDF Version: 7.11.1.145

Scan start time: Sun Jan 16 14:26:33 2011

configuration file: /etc/avira/scancl.conf
WARNING: [Unexpected end of file]

...
/media/Devices/sda2/Users/xxxxxx/trb/winve/pcwVistaPE1.3a.zip --> pcwVistaPE1.3/Tools/SetupVirtualCloneDrive5432.exe
ALERT: [TR/Crypt.XPACK.Gen2]

/media/Devices/sda2/Windows/System32/Boot/winload.exe.bak <<< Is the Trojan horse TR/Crypt.XPACK.Gen2 [renamed]
ALERT: [TR/Crypt.XPACK.Gen2]

/media/Devices/sda2/Windows/System32/winload.exe.bak <<< Is the Trojan horse TR/Crypt.XPACK.Gen2 [renamed]
WARNING: [File is encrypted]
...


[Mein System:

Dual-Boot Betrieb:
- Windows Vista Home Premium 32 Bit --> befallene Partition
- Windows 7 Professional 32 Bit (in Ordnung)]


Da die Partition immer noch nicht booten kann und der Trojaner trotzdem
noch auf dem System sein könnte, hoffe ich, das mir jemand helfen kann.

Vielen Dank schon im Voraus

cosinus 17.01.2011 19:45
Zitat:
dass meine Vistapartition auf einmal
nicht mehr booten konnte.
Was heißt denn auf einmal? Was genau wurde davor gemacht?

Gordon43 17.01.2011 20:34
Am Anfang hatte ich gemerkt, dass Vista etwas langsamer lief.
Dann tauchte irgendwann ein Hinweisfenster von Kaspersky Security auf,
mit der Meldung das der keyboard.sys-Treiber verändert wurde.
Das Merkwürdige daran war, das es nur die Option "Ignorieren" gab.
Und eines Tages lief Vista überhaupt nicht mehr, auch nicht über die F8 Optionen.

cosinus 17.01.2011 20:54
Zitat:
Dann tauchte irgendwann ein Hinweisfenster von Kaspersky Security auf,
mit der Meldung das der keyboard.sys-Treiber verändert wurde.
Ohne Grund passiert das nicht. Was hast du da gerade gemacht? Was installiert? Wenn ja, was genau?

Gordon43 17.01.2011 22:23
Es ist leider schon ein paar Tage her.
Aber ich weiß, das ich mir sämtliche Versionen von Framework heruntergeladen
und installiert habe (Quelle war zum einen die Microsoft Homepage und zum anderen
das MS Programm MBSA 2.2), in der Hoffnung, dass das Firmwareupdateprogramm
meines MP3 Players (Censo) nun unter Vista laufen würde.
Der Grund war, das bei dem Updatevorgang immer ein Abbruch kam mit der Meldung:
Winsock: Verbindung wurde aufgrund einer Zeitüberschreitung oder eines anderen Fehlers getrennt.
In einigen Foren las ich, das dies auf einem side-by-side Problem lag.

cosinus 17.01.2011 22:34
Zitat:
/media/Devices/sda2/Windows/System32/Boot/winload.exe.bak <<< Is the Trojan horse TR/Crypt.XPACK.Gen2 [renamed]
ALERT: [TR/Crypt.XPACK.Gen2]
Sieht nach einem Fehlalarm aus oder ein Schädling hat diese Datei gepatcht :balla:
Das schon beachtet => Vista: Beim Start erscheint "\Windows\System32\ winload.exe konnte nicht gefunden werden"

Gordon43 19.01.2011 16:34
Ja, die Systemstartreparatur kenne ich schon. :pfeiff:

Ich muss hinzufügen, dass dieses Dual Boot System
mit einem externen Tool (Paragon) erstellt wurde.
Zudem waren die Optionen auf "andere Partition verstecken"
eingestellt.

cosinus 19.01.2011 16:42
Zitat:
mit einem externen Tool (Paragon) erstellt wurde.
Zudem waren die Optionen auf "andere Partition verstecken"
Da muss ich passen. Solche Super-Spezial-Extra-Tools mag ich nicht :nixda:

Gordon43 19.01.2011 17:09
Ok, habe die Änderungen des Bootmanagers rückgängig gemacht.
(Leider sehe ich nun unter Win7 auch die Vistapartition...)

Jetzt sehe unter Vista wieder nur den Mauszeiger.

cosinus 19.01.2011 21:01
Zitat:
(Leider sehe ich nun unter Win7 auch die Vistapartition...)
Wieso leider? Was ist daran ein Nachteil? Eher ein Vorteil, wenn du unter Win7 mal an Daten ran musst, die auf der Vistapartition gespeichert sind.

Gordon43 19.01.2011 21:26
Die zwei Betriebssysteme liegen zwar nah beieinander aber es kann
immer noch zu (möglichen) Konflikten kommen.
Außerdem halte ich es für sicherer über copy an die Daten
heranzukommen ;)

Leider kann ich Vista immer noch nicht ordnungsgemäß booten (siehe winload).
Welche Lösungsansätze gäbe es dafür?

Bzw. welche Logs soll ich posten?

cosinus 19.01.2011 22:34
Zitat:
Außerdem halte ich es für sicherer über copy an die Daten
heranzukommen
Muss man das verstehen oder soll man den Zusammenhang erraten oder die :glaskugel: fragen?
Wie soll ich was von A nach B kopieren, wenn die Vista-Partition nicht sichtbar ist unter Win7?
Was für Konflikte sollen da aufreten?

Zitat:
Leider kann ich Vista immer noch nicht ordnungsgemäß booten (siehe winload).
Welche Lösungsansätze gäbe es dafür
Den Link hab ich dir gepostet. Bekomm ja kein Feedback von dir. :nixda:

Gordon43 20.01.2011 22:05
Ich meinte damit den (DOS) COPY Befehl, war leider nicht ganz offensichtlich. Sry.
(Voraussetzung ist natürlich, das beide Partionen sichtbar sind.)

Zum Link:


Die Systemstartreparatur gibt folgendes aus:

...
(Sämtliche Fehlercodes besitzen den Eintrag 0x0)

Anzahl der Fehlerursachen = 1

Gefundene Fehlerursache:

Der Startstatus besagt, dass das Betriebssystem erfolgreich gestartet wurde.
...


Es wird trotzdem nur ein schwarzer Bildschirm angezeigt.

cosinus 21.01.2011 14:44
Zitat:
Ich meinte damit den (DOS) COPY Befehl, war leider nicht ganz offensichtlich. Sry.
Und was ist daran sicherer? Dieser COPY-Befehl ist scheise wenn du größe Datenmengen bzw. einen großen Ordner mit vielen Unterverzeichnissen und Dateien kopieren willst. Was machst du da wenn es irgendwo an einer Datei abbricht? Dann ist XCOPY oder gar ROBOCOPY noch besser.

Zitat:
Es wird trotzdem nur ein schwarzer Bildschirm angezeigt.
Dann wirds wohl auf nachträgliche Datensicherung und Neuinstallation von Vista hinauslaufen. Wobei ich aber nicht verstehen kann, warum man Win7 und Vista parallel (Dualboot) installiert haben muss. Wär es statt Vista XP oder 2000 hätte ich das eher verstanden. Und statt Parallelinstallation hätte man auch mti VMWare oder sowas eine VM mit entsprechendem Betriebssystem einrichten können.

Gordon43 21.01.2011 17:44
Den Copy Befehl (in all seinen Varianten) musste ich schon einmal
ausführen, als ein paar Treiber beschädigt waren.
Das war noch zu XP Zeiten auf einem anderen Rechner. :crazy:

Könnte man zumindest den abgesicherten Modus von Vista
wieder hinbekommen (siehe Copy)? Ich hatte mir mal eine
Install DVD gebastelt, jedoch leider nur auf der Basis einer
Enterprise ISO.
Die für den Bootvorgang benötigten Dateien müssten doch
identisch sein.


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:25 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27