Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Snapple.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 06.02.2005, 20:51   #1
Firecat
 
Snapple.exe - Standard

Snapple.exe



Hallo ich bekam gerade eine Email von meinem bekannten mit folgender Virusnachricht.

Grüß Sie Herr ........

diesmal melde ich mich wegen einer unangenehmen Sache.
Es ist eigentlich das erste Mal, dass ich mir wirklich einen Virus eingefangen habe.
Schon wegen meiner Vorsicht im Internet zu Surfen, ist es mir unerklärlich, auf
welchem Weg sich dieses Teil eingeschlichen hat.

Nicht einmal der Virenscanner kennt ihn, trotz ständiger Aktualisierung !!

Ich habe es eigentlich nur bemerkt, als mein Rechner, bzw. das Modem, lange
Datenpakete nach aussen absetzte.
Beim Hochfahren des Rechners verhielt er sich merkwürdig.

Beim Blick in die verborgenen Autostarts (msconfig, Reiter Systemstarts) fand
ich dann die Einträge 'Snapple.exe' sowie 'syshost32.exe'.
Meine Firewall sowie Virenscanner wurden ständig deaktiviert.

Im Internet fand ich eigentlich nur einen Hinweis (siehe Anlage) welche Einträge
in der Registry betroffen sind.
Das Datum der Herausgabe ist 28.01.2005 !!

Es hat mich eine ganze Weile gekostet, bis ich ihn vom System herunter hatte.
Schlimm ist derzeit nur, dass der Virenscanner nutzlos ist.

Die Anlage:
This file is generated by AppHunter
; Please contact support@cyberdefender.com for more details
[Summary]
Discovered=01/28/2005 04:26:00
ID=152CCFD50539D3206447A5CF55581726
ID2=80384,B6A3F5715C68316D981F99D49D8E41D2
ID3=79360,1AFBEB0B6097955403634CFB801F2667
MD5=2C3C33C53373F0293C65E3F1B8D17A0F
Size=80384
Filename=snapple.exe
Company=N/A
Risk=4.8

[Risk Analyzer]
AutoRun=16
NonBrand=10
FileCreated=4
FileCreatedInWinSys=4
CloneThreat=4
ServiceCreated=10

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
snapple=snapple.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\]
snapple=snapple.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\]
snapple=snapple.exe

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
snapple=snapple.exe

[FileCreated]
c:\windows\system32\snapple.exe=1

[ThreadCreated]
Count=1

Der Virus findet sich in der Registry nicht unbedingt unter dem angegebenen Namen.
Wie es scheint, versteckt er sich auch unter der ausführbaren Datei syshost32.exe.
Auf jeden Fall konnte unter 'Ausführen' msconfig im Reiter Systemstart
in der Spalte Systemstartelement Abx festgestellt werden.
Der dazugehörige Befehl lautet syshost32.exe
Parallel wurde auch snapple.exe ausgeführt.
Beide Befehle scheinen auch mehrfach gestartet zu werden.

Hat jemand diesen Virus schonmal gehabt.

Alt 06.02.2005, 21:03   #2
chaosman
 
Snapple.exe - Standard

Snapple.exe



@Firecat
im google findet man nicht viel.
mit welchen Avscanner arbeitest du?
poste mal den ganze pfad.
poste auch ein HJT logfile
download
anleitung

chaosman
__________________

__________________

Alt 07.02.2005, 12:56   #3
Firecat
 
Snapple.exe - Standard

Snapple.exe



Wie schon gesagt der Virus ist bei einem Bekannten von mir aufgetreten,aber ich habe dort nachgefragt und werde sobald ich Antwort erhalte weitere Infos Posten.
__________________

Alt 08.02.2005, 19:43   #4
Blumenpflugger
 
Snapple.exe - Standard

Snapple.exe



Hallo zusammen.

Ich habe gerade mit meinem alten Herren telefoniert. Es sprach von
Problem mit seinem PC (Kann keine Webseite über den IE aufrufen, es öffnet sich
auchtomatisch ein neues IE Fenster und die CPU-Auslastung durch die Snapple.exe beträgt 99 %). Wenn man googelt findet man nur ein Link auf
diesen Thread. Wäre net wenn Ihr evtl. einmal die URL posten könntet, wo Ihr
mehr Über dieses Thema gefunden habt.
Selbst freeav (vs) und spybot finden nix. diese wurden samstag gestartet.
mittlerweile kann mal leider Antivir (freeav) nicht mehr bedienen. Wird wohl
deaktiviert.

Das Problem besteht seit Samstag. Sieht wohl nach einem neuen Virus aus, oder?

Alt 08.02.2005, 20:15   #5
chaosman
 
Snapple.exe - Standard

Snapple.exe



@Blumenpflugger
lade escan
download
anleitung
überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre
scan dauert mindestens 1 stunde
chaosman

__________________
Bonus vir semper tiro

Alt 10.02.2005, 01:11   #6
tdt
 
Snapple.exe - Standard

Snapple.exe



Ich hab den auch bekommen.

Die Sache mit dem Anti-Virus (bei mir Kaspersky) kann man lösen, indem man das Programm deinstalliert, neu installiert und sofort update macht, vor dem nächsten 1. Scan.

Dieser Tip kommt nicht von mir, aber hat funktioniert. Der Hintergrund ist der, dass snapple.exe die Datei Eicar im AV-Programm modifiziert. Dadurch wird das Programm in diesem Fall unbrauchbar.

Obwohl, mal nebenbei bemerkt, Kaspersky in der Qualität ziemlich nachgelassen hat. Das kostenlose avast (http://www.avast.com) geht besser mit Viren um.

In Sache Eliminierung von snapple.exe an sich, musste ich es ebenfalls manuell machen (registry). Einige empfehlen eine Neuaufsetzung des Systems. Bei mir war es nicht erforderlich.

Alt 01.03.2005, 10:21   #7
atscho
 
Snapple.exe - Standard

Snapple.exe



Hallo , ich habe in den letzten Tagen auch immer wieder Probleme mit Viren und Trojanern! Da ist was ganz neues unterwegs! Meine Firewall von Zone Labs haut jeden Tag ein neuen Wurm Virus raus. Aber wie diese aufs System kommen, keine Ahnung!

Vor 4 Tagen hab ich beobachtet das sich der Windows Taschenrechner von allein öffnet! Einfach so beim schreiben oder spielen!

Gestern war mein System defekt musste Windows Repair (XP) machen!
Dann fand ich den Wurm LSRV.EXE den hab ich weg! Danach starteten immer wieder neue Programme wie SMSSE.EXE(Wurm), denn hab ich auch weg.
Dazu startete immer wieder FTP.EXE, ein Programm was zum Datenübertragen ist!
Meine Firewall hat zum Glück immer alles gesperrt!
Das Programm CMD.EXE läuft in einer Simulierten MS-DOS Anwendung oder so und das war vorher nicht und seit dem hab ich ärger!
Jetzt heute morgen musste meine Firewall auch den SNAPPLE.EXE sperren?!
Irgendwo ist doch eine riesen Lücke im System oder wo kommen diese Teile ständig her habe sonst nie Probleme gemacht!

aaaaaaaaaaa


Kann mir einer mehr sagen was ich mit der Datei CMD.EXE machen soll? Denn die ghört ja zu Windows oder?

Alt 01.03.2005, 10:37   #8
Gigamail
 
Snapple.exe - Standard

Snapple.exe



@ atscho

Du hast unter anderem diesen drauf.
Wenn Du diese Dateien auf Deinem Rechner hast gibt es nur noch das System Neuausetzen. Hilfe dazu findest Du hier

Lese auch mal über Kompromittierung
__________________
Gruß Gigamail

eScan-Anleitung und Download



Alt 01.03.2005, 11:37   #9
atscho
 
Snapple.exe - Standard

Snapple.exe



Ja sehe ich auch so und jetzt werde ich alles FORMATIEREN Laufwerk D: auch NÖTIG? Bislang habe ich auf die 2. Festplatte noch nie zugriffe oder unerwünschte Datein gehabt!

Danke noch mal

Noch eine FRAGE: Mein WIndows Ordner ist FREIGEGEBEN! Ist das RICHTIG? Weil Laufwerk C: wiederrum nicht FREIGEGEBEN ist?!?!? Kenn mich da auch nicht so richtig aus!?!?!

Alt 01.03.2005, 12:21   #10
net
 
Snapple.exe - Standard

Snapple.exe



Zitat:
Zitat von atscho
Noch eine FRAGE: Mein WIndows Ordner ist FREIGEGEBEN! Ist das RICHTIG? Weil Laufwerk C: wiederrum nicht FREIGEGEBEN ist?!?!? Kenn mich da auch nicht so richtig aus!?!?!
wenn du das nicht gemacht hast, ist das auch nicht richtig ... wohl eher ein Zeichen für fortgeschrittenes Stadium der Kompromittierung

Antwort

Themen zu Snapple.exe
anlage, brand, datei, email, erste mal, festgestellt, file, firewall, folge, internet, microsoft, modem, pakete, rechner, registry, runonce, scan, services, software, surfen, system32, träge, unbedingt, virenscanner, virus, virus eingefangen, windows, winsys




Zum Thema Snapple.exe - Hallo ich bekam gerade eine Email von meinem bekannten mit folgender Virusnachricht. Grüß Sie Herr ........ diesmal melde ich mich wegen einer unangenehmen Sache. Es ist eigentlich das erste Mal, - Snapple.exe...
Archiv
Du betrachtest: Snapple.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.