Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojanische Pferd TR/Crapt.XPACK.Gen (https://www.trojaner-board.de/54911-trojanische-pferd-tr-crapt-xpack-gen.html)

GIGI 28.06.2008 13:01
Trojanische Pferd TR/Crapt.XPACK.Gen
 
Sers @all! Beim starten des Spiels "Civilization III" öffnet sich Avira AntiVir und bringt mir diese Meldung:

C:\Users\Frank\AppData\Local\Temp\NIL32.dll
Ist das Trojanische Pferd TR/Crapt.XPACK.Gen

Die Datei kann nicht gelöscht werden und direkt auf der Platte finde ich sie auch nicht. Hier schonmal die Logfile. Ich hoffe mir kann jemand helfen.



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:53:35, on 28.06.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Program Files\Atheros\ACU.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\avmwlanstick\FRITZWLANMini.exe
C:\Windows\System32\rundll32.exe
C:\Windows\ehome\ehtray.exe
C:\Users\Frank\AppData\Local\eeaggequk.exe
C:\Windows\System32\rundll32.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\DllHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Yahoo! Deutschland
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Yahoo! Deutschland
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Yahoo! Deutschland
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [ACU] "C:\Program Files\Atheros\ACU.exe" -nogui
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AVMWlanClient] C:\Program Files\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [eeaggequk] c:\users\frank\appdata\local\eeaggequk.exe eeaggequk
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O13 - Gopher Prefix:
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\Windows\system32\acs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Program Files\avmwlanstick\WlanNetService.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

--
End of file - 5531 bytes






Der Trojaner wird in dieser Datei gefunden.
C:\Users\Frank\AppData\Local\Temp\NIL32.dll

schrauber 28.06.2008 13:32
hi,

Zitat:
c:\users\frank\appdata\local\eeaggequk.exe
C:\Users\Frank\AppData\Local\Temp\NIL32.dll
diese dateien bitte bei virustotal scannen lassen und die ergebnisse hier posten.


gruß

schrauber

Silent sharK 28.06.2008 13:37
Sollte False Positive sein.
mfg

schrauber 28.06.2008 13:42
@Dark Viruz

neige auch dazu,aber sicher ist sicher :D
falls false positive kann er sie ja zu antivir schicken.

GIGI 28.06.2008 13:43
Keiner dieser beiden Dateien sind in dem Ordner ersichtlich.

Versteckte Dateien anzeigen ist aktiviert.

:headbang:

Bin irgendwie ratlos!!! Kann die Dateien daher nicht bei virustotal hochladen.

schrauber 28.06.2008 13:56
kannst du auch die systemdateien sehen?

starte mal das spiel,dann sind die dateien vielleicht da. und such die dateien nicht,sondern kopier aus der codebox oben den pfad direkt in die leiste bei virustotal.

gruß

schrauber

Silent sharK 28.06.2008 14:04
Ich habe schonmal nen Fall mit dem Spiel gesehn.
Update mal AntiVir, bzw. mach das Produktupdate
Normal sollte es dann wieder OK sein.
mfg

GIGI 28.06.2008 14:14
Datei: NIL32.dll


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.27.1 2008.06.27 -
AntiVir 7.8.0.59 2008.06.27 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.06.27 -
Avast 4.8.1195.0 2008.06.28 -
AVG 7.5.0.516 2008.06.28 -
BitDefender 7.2 2008.06.28 -
CAT-QuickHeal 9.50 2008.06.28 -
ClamAV 0.93.1 2008.06.28 -
DrWeb 4.44.0.09170 2008.06.28 -
eSafe 7.0.17.0 2008.06.26 Suspicious File
eTrust-Vet 31.6.5911 2008.06.27 -
Ewido 4.0 2008.06.27 -
F-Prot 4.4.4.56 2008.06.27 -
F-Secure 7.60.13501.0 2008.06.26 -
Fortinet 3.14.0.0 2008.06.28 -
GData 2.0.7306.1023 2008.06.28 -
Ikarus T3.1.1.26.0 2008.06.28 Trojan.Crypt.XPACK
Kaspersky 7.0.0.125 2008.06.28 -
McAfee 5327 2008.06.27 -
Microsoft 1.3704 2008.06.28 -
NOD32v2 3224 2008.06.27 -
Norman 5.80.02 2008.06.27 -
Panda 9.0.0.4 2008.06.28 Suspicious file
Prevx1 V2 2008.06.28 Suspicious
Rising 20.50.52.00 2008.06.28 -
Sophos 4.30.0 2008.06.28 Sus/Behav-200
Sunbelt 3.0.1176.1 2008.06.26 -
Symantec 10 2008.06.28 -
TheHacker 6.2.96.362 2008.06.27 -
TrendMicro 8.700.0.1004 2008.06.27 PAK_Generic.001
VBA32 3.12.6.8 2008.06.28 -
VirusBuster 4.5.11.0 2008.06.23 -
Webwasher-Gateway 6.6.2 2008.06.28 Trojan.Crypt.XPACK.Gen
weitere Informationen
File size: 151700 bytes
MD5...: 0a2c05a21fa1fdf38216d7ce805d9c3a
SHA1..: f7cd461f71551d385d36683af0aaa57c28e6a66a
SHA256: de70d9a0ae20aa12995452d3927cb69c0ab9d41b15c2921312287793a07662a9
SHA512: 36cc03a52e629f581db689a4f058750657d584e2d4af81489663ac5f50d240d8
76fc80ebf57edd8b904d3123e88adc7f00266fce94cc3aaf0cbc99d47af47d62
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000a150
timedatestamp.....: 0x3d9050d3 (Tue Sep 24 11:47:31 2002)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1009e 0xd33b 8.00 5be45ad2bc7df1dfa0ff66804913a57a
.text 0x12000 0xb164 0x9b8c 8.00 08dd77b30f8f98bae0a69da7dc9d2a55
.rdata 0x1e000 0x1206 0xf70 7.93 43f7899ed81764574a1e9bfdd97bb0e2
.data 0x20000 0xbbbc 0x2085 7.98 7e9399bdcd98f06a245a7fadc3ccfbd9
.reloc 0x2c000 0x238a 0x1e41 7.98 802c25997dc3f3655fb702ac0344644b

( 1 imports )
> KERNEL32.dll: GetModuleHandleA, GetProcAddress, LoadLibraryA

( 0 exports )
packers (Kaspersky): PE_Patch
Prevx info: 95791013.DLL - Prevx

Silent sharK 28.06.2008 14:16
GIGI schick die Datei mal AntiVir: Submit your sample

Berichte, was die dir dann zurückschreiben
mfg

GIGI 28.06.2008 14:18
Die Datei taucht nur beim Start des Spiels auf. Sobald es gestartet ist, ist die Datei auch wieder weg.

?!?!?

Silent sharK 28.06.2008 14:19
Wie hast du sie dann bei virustotal hochladen können?

schrauber 28.06.2008 14:19
mach es so wie Dark Viruz es dir geschildert hat,dann sehen wir weiter.

gruß

schrauber

GIGI 28.06.2008 14:21
Verdächtige Dateien und sonstige Uploads

Vielen Dank für Ihre Submission. Im folgenden sehen Sie den derzeitigen Status der übermittelten Dateien:

Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:
Datei ID Dateiname Größe (Byte) Ergebnis
25060267 NIL32.dll 148.14 KB MALWARE


Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
Dateiname Ergebnis
NIL32.dll MALWARE

Die Datei 'NIL32.dll' wurde als 'MALWARE' eingestuft. Diese Malware wird mit einer Spezial-Erkennungsroutine des Enginemoduls erkannt.
Die oben aufgeführten Ergebnisse werden wir Ihnen zusätzlich via Email übermitteln. Sofern das Endergebnis noch nicht für alle Dateien verfügbar ist müssen Sie sich gegebenenfalls noch gedulden.

Silent sharK 28.06.2008 14:22
Ist das beim Hochladen gekommen?
Wenn ja, dann schreiben die Analytiker dir eine Email wenn das Ergebnis feststeht

GIGI 28.06.2008 14:23
Spiel gestartet, dann kam die Avira Meldung, danach dateipfad eingegeben und hochgeladen und dann erst die Meldung wieder geschlossen.


Die Meldung kam direkt nach dem Upload bei Avira!


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:45 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131