| |
| |||||||
Log-Analyse und Auswertung: Infektionsverdacht (Rootkit, Botnet, Remote Access) / Win7 SP1 / 64bitWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
19.07.2011, 17:33
| #17 |
 |  Infektionsverdacht (Rootkit, Botnet, Remote Access) / Win7 SP1 / 64bit Herzlichen Glückwunsch Sie haben Level 1 geschafft!
__________________Nein im Ernst, jetzt kann ich definitiv sagen (und notfalls auch beweisen), dass mein System Infiziert wurde. Log von SASW: Code:
ATTFilter SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com
Generated 07/18/2011 at 09:01 PM
Application Version : 4.55.1000
Core Rules Database Version : 7421
Trace Rules Database Version: 5233
Scan type : Complete Scan
Total Scan Time : 01:43:32
Memory items scanned : 559
Memory threats detected : 0
Registry items scanned : 12681
Registry threats detected : 0
File items scanned : 348354
File threats detected : 8
Trojan.Agent/Gen-UsrMgr
D:\QTSDK\MAEMO\4.6.2\MADBIN\MD5SUM.EXE
D:\QTSDK\MAEMO\4.6.2\MADBIN\SHA1SUM.EXE
D:\QTSDK\MAEMO\4.6.2\MADBIN\SHA256SUM.EXE
D:\QTSDK\MAEMO\4.6.2\MADBIN\TARLISTED.EXE
D:\QTSDK\MAEMO\4.6.2\MADLIB\UTFS-SERVER.EXE
D:\QTSDK\MAEMO\4.6.2\TARGETS\FREMANTLE-PR13\BIN\GCC.EXE
D:\QTSDK\MAEMO\4.6.2\TEMPLATES\TOOLWRAPPER.EXE
Trojan.Agent/CDesc[Generic]
D:\SPIELE\EPS\PLUGINS\SPUIORI.DLL
Die SPUIORI.DLL scheint jedoch ein Volltreffer zu sein. Mir ist auch aufgefallen, dass die Datei eine nette Botschaft in der Dateibeschreibung enthält "のろってやる!!" (Auf dt. etwa "Ich werde verflucht!!"). Das seltsame daran ist, der Explorer zeigt einen Zeitstempel von 2001 an, vielleicht wurde dieser manipuliert falls so etwas möglich ist. EDIT: Mist zu früh gefreut... nur 2 der Scanner auf Virustotal haben etwas gefunden und auch nur heuristische Funde: Code:
ATTFilter Antivirus results
AhnLab-V3 - 2011.07.19.02 - 2011.07.19 - -
AntiVir - 7.11.11.232 - 2011.07.19 - -
Antiy-AVL - 2.0.3.7 - 2011.07.15 - -
Avast - 4.8.1351.0 - 2011.07.19 - -
Avast5 - 5.0.677.0 - 2011.07.19 - -
AVG - 10.0.0.1190 - 2011.07.19 - Suspicion: unknown virus
BitDefender - 7.2 - 2011.07.19 - -
CAT-QuickHeal - 11.00 - 2011.07.19 - -
ClamAV - 0.97.0.0 - 2011.07.19 - -
Commtouch - 5.3.2.6 - 2011.07.19 - -
Comodo - 9438 - 2011.07.19 - -
DrWeb - 5.0.2.03300 - 2011.07.19 - -
Emsisoft - 5.1.0.8 - 2011.07.19 - -
eSafe - 7.0.17.0 - 2011.07.19 - -
eTrust-Vet - 36.1.8452 - 2011.07.19 - -
F-Prot - 4.6.2.117 - 2011.07.19 - -
F-Secure - 9.0.16440.0 - 2011.07.19 - -
Fortinet - 4.2.257.0 - 2011.07.19 - -
GData - 22 - 2011.07.19 - -
Ikarus - T3.1.1.104.0 - 2011.07.19 - -
Jiangmin - 13.0.900 - 2011.07.19 - -
K7AntiVirus - 9.108.4924 - 2011.07.19 - -
Kaspersky - 9.0.0.837 - 2011.07.19 - -
McAfee - 5.400.0.1158 - 2011.07.19 - -
McAfee-GW-Edition - 2010.1D - 2011.07.19 - -
Microsoft - 1.7000 - 2011.07.19 - -
NOD32 - 6307 - 2011.07.19 - -
Norman - 6.07.10 - 2011.07.18 - -
nProtect - 2011-07-19.01 - 2011.07.19 - -
Panda - 10.0.3.5 - 2011.07.19 - -
PCTools - 8.0.0.5 - 2011.07.13 - -
Prevx - 3.0 - 2011.07.19 - -
Rising - 23.67.01.05 - 2011.07.19 - -
Sophos - 4.67.0 - 2011.07.19 - -
SUPERAntiSpyware - 4.40.0.1006 - 2011.07.19 - Trojan.Agent/CDesc[Generic]
Symantec - 20111.1.0.186 - 2011.07.19 - -
TheHacker - 6.7.0.1.257 - 2011.07.18 - -
TrendMicro - 9.200.0.1012 - 2011.07.19 - -
TrendMicro-HouseCall - 9.200.0.1012 - 2011.07.19 - -
VBA32 - 3.12.16.4 - 2011.07.19 - -
VIPRE - 9904 - 2011.07.19 - -
ViRobot - 2011.7.19.4577 - 2011.07.19 - -
VirusBuster - 14.0.130.1 - 2011.07.19 - -
File info:
MD5: 43e8e948c6c9a7b56939d5eb1e3c7ddc
SHA1: 72dfb0155624c372638d6951f686b983f0bfe15d
SHA256: 7155a9901158b60e993a0c11bf96d03f9979405f0ef846c5133a25865260b24c
File size: 44020 bytes
Scan date: 2011-07-19 16:46:21 (UTC)
Auffällig ist die, wahrscheinlich nach dem Einsatz von TDSSKiller, entfallene Rootkit Funktion des eigentlichen Schädlings. Momentan werden beim Aufrufen des Firefox zahlreiche Verbindungen zum Host dd3728.kasseserver.com hergestellt (nachladen von neuem Schadcode?). Die Verbindungen werden Firefox zugeordnet, ob auch Verbindungen geöffnet werden wenn ich einen anderen Browser verwende habe ich noch nicht überprüft. Momentan gehe ich davon aus, dass der PC mit einer relativ neuen Version eines online Banking Trojaners infiziert ist. Und ich dachte schon ich werde bald paranoid  Edit: Malwarebytes hat nichts gefunden und ESET braucht ja eine Internetverbindung (IMHO momentan kontraproduktiv)
__________________ Geändert von close1 (19.07.2011 um 18:04 Uhr) |
| Themen zu Infektionsverdacht (Rootkit, Botnet, Remote Access) / Win7 SP1 / 64bit |
| .html, adblock, antivir, bot, botnet, browser, defogger, firefox, formatieren, free, hacker, hijack, hijackthis, internetverbindung, ip adresse, linux, mail, neu, port, port 80, programme, prozesse, remote, remote access, rootkit, scan, security, system, systeme, tan, thread, verdacht, win7 |
Baum-Darstellung