NIL32.dll Virus / Trojaner

Hallo erstma!
Da mir schon bei meinem letzten Problem hier gut geholfen wurde, bin ich zuversichtlich, dass ich auch dieses Problem mit etwas Hilfe lösen kann...

Also: scheinbar habe ich mir einen Trojaner eingefangen...NIL32.dll.
Diese Seite habe ich dazu im Internet gefunden: http://www.prevx.com/filenames/135568243072190539-0/NIL32.DLL.html

Ich habe das Spiel Civilization III auf meinem PC installiert, und es lief immer problemlos, doch als ich die Verknüpfung auf dem Desktop mal wieder angeklickt hab, erschien die AntiVir Fehlermeldung:

C:\Dokumente und Einstellungen\...\NIL32.dll
ist das Trojanische Pferd TR/Crypt.XPACK.Gen

Egal, welche Aktion von AntiVir ich auswähle (Zugriff verweigern, Löschen, In Quarantäne verschieben, Umbenennen...), beim nächsten Klick auf die Verknüpfung is das Ding wieder da.
--> AntiVir kann es also nicht löschen!?

Hab daraufhin den ganzen PC nochmal mit AntiVir gecheckt, auch mit Spybot und mit a-squared free, NICHTS gefunden!
und auch speziell die Verknüpfung zu dem Spiel, die CD, auf der das Spiel ist und den Ordner, in dem die Dateien für das Spiel sind, gecheckt und NICHTS gefunden.
Erst wenn ich die Verknüpfung doppelklicke und das Spiel starten will, meckert AntiVir...

Wenn ich das Spiel deinstalliere und wieder installiere, besteht das Problem weiterhin.

Bin auch den "Wie mache ich meinen PC sicher"-Bericht von Gandalf_AwA durchgegangen, habe aber speziell für mein Problem keine Lösung gefunden!


Wie kann ich NIL32.dll löschen?
Muss ich den PC neu aufsetzen? :-(


Bin ratlos, Danke für eure Hilfe!


PS: Werden meine PC-Daten oder HiJack Logfiles benötigt, kann ich gerne dienen :-D

 

meine Signatur bzw oben angepinnte Beiträge im Board Sicherheit

 

Mein PC:
WinXP Home Edition SP3
Intel Pentium 4, 2.80Ghz // 512MB DDR-RAM // Radeon 9600 SE

HijackThis Logfile im Anhang...

 

Das HijackThis-Log zeigt keine Schädlinge.
Ich tippe auf einen Fehlalarm von Avira.
Zumindest ist die Datei verdächtig, sich wie ein Trojaner zu verhalten.
http://forum.avira.com/wbb/index.php?page=Thread&threadID=70167
Versuche mal die NIL32.dll von dem Original-Datenträger wiederherzustellen.
Wenn Avira die auch als Trojaner bezeichnet, kannst du die Datei an das Avira Virenlabor hoch laden als Verdacht auf Fehlalarm.
http://analysis.avira.com/samples/index.php

edit: Sun Java 1.4.2_01 ist total veraltet. Deinstallieren und die neuste Version besorgen.
Veraltete Java-Version hat Sicherheitslücken, die von Malware ausgenutzt wird.

 

Hey!
Vielen Dank für die hilfreiche Antwort.
Habe den Thread im Avira Forum dazu noch gar nicht gekannt.
Werde jetzt mal abwarten, ob Avira die Datei als Fehlalarm bestätigt.

Und Java werd ich gelegentlich mal updaten...:-D


Wie meinst du, die Datei vom Original-Datenträger wiederherzustellen?
Eine Neuinstallation des Spiels habe ich schon öfters versucht...
oder ist was anderes gemeint?

 

Bei der Neuinstallation wurde die NIL32.dll mit Sicherheit auch installiert.
Vorausgesetzt, sie gehört zu Civilization III.
Kannst du das bestätigen?
Antivir mal ausschalten, damit das Gemeckere weg bleibt. Dann NIL32.dll über die WIndows Suche suchen und in die Dateieigenschaften gucken, was da drin steht und wo die datei überall gspeichert ist. Beim Betrachten der Daten kann kein Virus aktiv werden.

 

Dass die Datei zu Civilization III gehört, kann ich leider nicht bestätigen!
Die Windows Suche findet unter NIL32.dll NICHTS.

Sie findet nur im Temp-Ordner eine Datei namens NIL32.VIR...:-(
Wurde die evtl von Avira erstellt (wegen Quarantäne oder was weiß ich) oder ist das jetzt ein Virus!?

 

Quarantäne ist nicht im Temp Ordner....

lade die Datei mal auf jotti oder virustotal hoch und poste das Ergebnis

 

Hast du einen Trainer (Cheatprogramm) für CIV 3 installiert?
Hier ist auch einer in gleicher Mission unterwegs.
http://forum.chip.de/viren-trojaner-wuermer/tr-crypt-xpack-gen-1041909.html
Die Datei würde ich auf jeden Fall ans Avira Virenlabor schicken, um Klarheit zu bekommen.

 

Ja, auch im Avira-Forum haben einige dasselbe Problem mit Civilization III :-D

Ich habe keinen Trainer oder Patch für das Spiel drauf...

Dann werde ich die Datei nochmal bei Avira uploaden und checken lasse oder? Und dann abwarten...

Und jotti und virustotal Ergebnis kommt gleich...

 

Also wie gewünscht:



jotti:

Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
PE_PATCH
Bit9 rapportiert: {BIT9_THREAT}

A-Squared
Keine Viren gefunden
AntiVir
TR/Crypt.XPACK.Gen gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
CPsecure
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
F-Secure Anti-Virus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Ikarus
Trojan.Crypt.XPACK gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
Panda Antivirus
Keine Viren gefunden
Sophos Antivirus
Sus/Behav-200 gefunden (mögliche Variante)
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden




und virustotal:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.24.0 2008.06.24 -
AntiVir 7.8.0.59 2008.06.24 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.06.24 -
Avast 4.8.1195.0 2008.06.23 -
AVG 7.5.0.516 2008.06.24 -
BitDefender 7.2 2008.06.24 -
CAT-QuickHeal 9.50 2008.06.23 -
ClamAV 0.93.1 2008.06.24 -
DrWeb 4.44.0.09170 2008.06.24 -
eSafe 7.0.17.0 2008.06.24 Suspicious File
eTrust-Vet 31.6.5900 2008.06.24 -
Ewido 4.0 2008.06.24 -
F-Prot 4.4.4.56 2008.06.23 -
F-Secure 7.60.13501.0 2008.06.20 -
Fortinet 3.14.0.0 2008.06.24 -
GData 2.0.7306.1023 2008.06.24 -
Ikarus T3.1.1.26.0 2008.06.24 Trojan.Crypt.XPACK
Kaspersky 7.0.0.125 2008.06.24 -
McAfee 5323 2008.06.23 -
Microsoft None 2008.06.24 -
NOD32v2 3213 2008.06.24 -
Norman 5.80.02 2008.06.23 -
Panda 9.0.0.4 2008.06.23 Suspicious file
Prevx1 V2 2008.06.24 -
Rising 20.50.10.00 2008.06.24 -
Sophos 4.30.0 2008.06.24 Sus/Behav-200
Sunbelt 3.0.1153.1 2008.06.15 -
Symantec 10 2008.06.24 -
TheHacker 6.2.92.359 2008.06.24 -
TrendMicro 8.700.0.1004 2008.06.24 PAK_Generic.001
VBA32 3.12.6.8 2008.06.23 -
VirusBuster 4.5.11.0 2008.06.23 -
Webwasher-Gateway 6.6.2 2008.06.24 Trojan.Crypt.XPACK.Gen
weitere Informationen
File size: 150167 bytes
MD5...: 98b506c981703811e26e8cca4133a326
SHA1..: f8e87a6827f8c9b3530cf6db054535107a95b1e4
SHA256: ca4a89b161f290200fbf3c19703dcf51537168e144aea5eac67adab9be6084b1
SHA512: ddc008a881f18959f84e41e226f78b5cf4aab5021422cbb7b9d87c38a4c4a524
3e58932e58d2aac01a4a08a152a6dd19cd96ce8550fc2874b53feed8fecf4c3c
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000a210
timedatestamp.....: 0x3c55539d (Mon Jan 28 13:35:25 2002)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1015e 0xd350 8.00 7f29466ed278397f0e9b3e3ed8b8be8c
.text 0x12000 0xad75 0x9548 7.99 06c076e8cd8df72aa85a0ed6a82c0340
.rdata 0x1d000 0x1206 0xf69 7.93 f38185d0517f7f4c97bdf5158d9ab619
.data 0x1f000 0xbb3c 0x2046 7.98 0b337bcf50ff919645ce3af3b2566642
.reloc 0x2b000 0x2350 0x1e44 7.98 286dc37c330c9cde6119952aac60e544

( 1 imports )
> KERNEL32.dll: GetModuleHandleA, GetProcAddress, LoadLibraryA

( 0 exports )
packers (Kaspersky): PE_Patch




Avira sagt bis jetzt folgendes:

Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:
Datei ID Dateiname Größe (Byte) Ergebnis
25054264 NIL32.dll 146.65 KB DAMAGED FILE (MALWARE)


Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
Dateiname Ergebnis
NIL32.dll DAMAGED FILE (MALWARE)

Die Datei 'NIL32.dll' wurde als 'DAMAGED FILE (MALWARE)' eingestuft. Dies bedeutet, dass diese Datei beschädigt und nicht richtig lauffähig ist. Dennoch konnten wir feststellen, dass es sich hierbei um eine Datei handelt welche schädliche Codefragmente aufweist. Unsere Analytiker haben dieser Bedrohung den Namen TR/Crypt.XPACK.Gen gegeben. Bei der Bezeichnung "TR/" handelt es sich um ein Trojanisches Pferd, dass in der Lage ist, ihre Daten auszuspähen, Ihre Privatsphäre zu verletzen und nicht erwünschte Änderungen am System vornehmen kann.Diese Malware wird mit einer Spezial-Erkennungsroutine des Enginemoduls erkannt.
Die oben aufgeführten Ergebnisse werden wir Ihnen zusätzlich via Email übermitteln. Sofern das Endergebnis noch nicht für alle Dateien verfügbar ist müssen Sie sich gegebenenfalls noch gedulden.

 

Jetzt liegt es an dir, ob du CIV 3 weiterhin spielen willst, oder Avira glaubst.

 

Hmm...:-D

Die Frage ist doch: Angenommen, ich spiele Civilization III nicht mehr, dann ist doch der Trojaner trotzdem noch auf dem PC und wer weiß was der noch anstellt...also wie bekomme ich den weg?

Und gibt es wirklich einen Virus, der sich ganz plötzlich bei vielen Leuten speziell auf ein bestimmtes Spiel stürzt?

 

Onlinespiele können von Viren befallen werden. Meistens kommen die von gecrackten Versionen.
Wenn die Datei in einem temporären Ordner ist, kannst du die regelmäßig leeren.
Ein ordentliches Programm löscht seine temporären Dateien beim Beenden.

 

Reicht es also, wenn ich dann regelmäßig meinen temp-Ordner lösche, oder kann der Trojaner noch andere Sachen anstellen?
Oder kann man diese Frage nicht sicher beantworten?:-D

 

Da wird nichts passieren. Wenn es wirklich ein Trojaner wäre, würde er er im Autostart eingetragen, um automatisch mit Windows gestartet zu werden. Trojaner sind keine ausführbare Programme, wie Viren und Würmer. Sie sind darauf angewiesen von einem anderen Programm gestartet zu werden.

 

Google gibt diverse Infos zu dieser Fehlermeldung, die von Fakemeldung bis hin zu risikoreichem Trojaner reichen.
Sollte sich zweites bewahrheiten, wird auf die Entfernung mit Combofix hingewiesen.

 

Wie ist das mit dem Combofix?

Wie funktioniert das?

 

Also gut, das Problem ist gelöst!!

Habe eine E-Mail vom Avira Labor bekommen:



Vielen Dank für Ihre Email an Avira's Virenlabor.
Auftragsnummer: INC00166482.

Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:
Datei ID Dateiname Größe (Byte) Ergebnis
25054264 NIL32.dll 146.65 KB FALSE POSITIVE


Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
Dateiname Ergebnis NIL32.dll FALSE POSITIVE

Die Datei 'NIL32.dll' wurde als 'FALSE POSITIVE' eingestuft. Dies bedeutet, dass diese Datei nicht gefährlich und eine Fehlmeldung unsererseits ist. Das Erkennungsmuster wird mit einem der nächsten Updates der Virendefinitionsdatei (VDF) entfernt werden.

Alternativ können Sie die Ergebnisse der Analyse hier einsehen:
http://analysis.avira.com/samples/d...CpKYft8D59gmzG5yj1OVxjh50XI&incidentid=166482

Zusätzlich finden Sie eine Übersicht aller Einsendungen hier:
http://analysis.avira.com/samples/details.php?uniqueid=0ZWPdCpKYft8D59gmzG5yj1OVxjh50XI

Hinweis: Bitte beachten Sie, dass erst ab der Premium Edition eine Erkennung von Ad- und Spyware Bestandteil der Standardsuchleistung ist. Bitte wenden Sie sich mit spezifischen Fragen an support@avira.de

Mit besten Grüßen
Avira Virenlabor




Nix mit gefährlicher Trojaner :-D


Vielen Dank für eure große Unterstützung!

 

Es wäre dumm gelaufen, wenn du wegen eines Fehlalarms Windows neu aufgesetzt hättest. Das ist aber schon vorgekommen.
http://www.google.de/search?hl=de&q=avira+fehlalarm+&btnG=Suche&meta=lr=lang_de