| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: staendig .exe-dateien auf Speicherkmedien (immer 1376 KB).txtWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
27.04.2009, 16:18
| #1 |
 |  staendig .exe-dateien auf Speicherkmedien (immer 1376 KB).txt Hallo, ich habe ueber mein Problem bisher kaum hilfreiche Hinweise im Netz gefunden. Ich hoffe, dass mir hier jemand helfen kann. Ich bin dienstlich in China und habe hier einen Laptop uebernommen. Auf dem laeuft Norton Antivirus. Ich habe Windows SP3 installiert. Das Problem: Wenn ich eine Speicherkarte oder einen USB-Stick anschliesse werden alle darauf befindlichen Dateien auf "versteckt" gesetzt und jeweils 1376 KB grosse .exe-Dateien generiert, die den gleichen Namen und das gleiche Dateisymbol wie diese Dateien haben. Ausserdem werden zwei Autostart-Eintraege erstellt, die man nicht lesen kann (Fragezeichen und Nullen-vlt. chinesisch). Diese Eintraege im Kontextmenue stehen ganz oben ueber Oeffnen. Ausserdem gehen staendig unerwartet IE-Fenster mit irgendwelchen (immer denselben) chinesischen Seiten auf, ohne dass ich etwas mache. Wenn diese Seiten offen sind, funktioniert scrollen manchmal nicht mehr. Habe die Url im IE passwortgeschuetzt. Seitdem geht das Passwortfenster auf, mit den gleichen Folgen. Der Norton Antivirus findet nichts. Er laesst sich auch neuerdings nicht mehr updaten, was vorher ging. Habe CCleaner und Malwarebytes-Anti-Malware geladen und scannen lassen. Code:
ATTFilter Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1945
Windows 5.1.2600 Service Pack 3
24.04.2009 21:57:30
mbam-log-2009-04-24 (21-57-30).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 127373
Laufzeit: 46 minute(s), 30 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
D:\Source\FlashGet\fgf160.exe (Adware.Cydoor) -> Quarantined and deleted successfully.
Ich zaehle auf euch. HC |
|
27.04.2009, 16:25
| #2 |
| | staendig .exe-dateien auf Speicherkmedien (immer 1376 KB).txt Hijack This habe ich auch durchlaufen lassen.:
__________________Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:57:38, on 24.04.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\ibmpmsvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\Program Files\Lenovo\ATK Hotkey\GFNEXSrv.exe C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe C:\Program Files\Lenovo\ATK Hotkey\LFKAS.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Google\Update\GoogleUpdate.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxsrvc.exe C:\WINDOWS\system32\igfxpers.exe C:\Program Files\Lenovo\ATK Hotkey\LCONTROL.exe C:\Program Files\Lenovo\ATK Hotkey\LFKA.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\Lenovo\HOTKEY\LVOSDSVC.exe C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\Winamp\winampa.exe C:\Program Files\Lenovo\HOTKEY\TPONSCR.exe C:\Program Files\Lenovo\Zoom\TpScrex.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\HP\HP Software Update\HPWuSchd2.exe C:\WINDOWS\system32\ACF7EF\74BE16.EXE C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\WINDOWS\system32\acs.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Program Files\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe C:\Program Files\ThinkPad\Utilities\PWMDBSVC.EXE C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe C:\Program Files\Skype\Phone\Skype.exe C:\Program Files\Skype\Plugin Manager\skypePM.exe C:\WINDOWS\system32\5A8DCC\SV-7668.EXE C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Mozilla Firefox\firefox.exe D:\x-kj\prog\HiJackThis.exe O2 - BHO: Thunder AtOnce - {01443AEC-0FD1-40fd-9C87-E93D1494C233} - C:\Program Files\Thunder Network\Thunder\ComDlls\TDAtOnce_Now.dll O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - C:\Program Files\Thunder Network\Thunder\ComDlls\xunleiBHO_Now.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [LCONTROL] "C:\Program Files\Lenovo\ATK Hotkey\LCONTROL.exe" O4 - HKLM\..\Run: [LFKA] "C:\Program Files\Lenovo\ATK Hotkey\LFKA.exe" O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor O4 - HKLM\..\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog O4 - HKLM\..\Run: [TPHOTKEY] C:\Program Files\Lenovo\HOTKEY\LVOSDSVC.exe O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [StormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti O4 - HKLM\..\Run: [ccApp] C:\Program Files\Common Files\Symantec Shared\ccApp.exe O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [hpqSRMon] C:\Program Files\HP\Digital Imaging\bin\hpqSRMon.exe O4 - HKLM\..\Run: [74BE16] C:\WINDOWS\system32\ACF7EF\74BE16.EXE O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user') O4 - Startup: 74BE16.lnk = C:\WINDOWS\system32\ACF7EF\74BE16.EXE O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: ????5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - C:\Program Files\Thunder Network\Thunder\Thunder.exe O9 - Extra 'Tools' menuitem: ????5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - C:\Program Files\Thunder Network\Thunder\Thunder.exe O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: HP ???? - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O17 - HKLM\System\CCS\Services\Tcpip\..\{ED679F38-BD8C-47E4-B90D-BCF87E0A457B}: NameServer = 192.168.255.14 O17 - HKLM\System\CCS\Services\Tcpip\..\{F8B358EA-4573-4645-B5BC-E7564BCA706C}: NameServer = 61.134.1.4 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Atheros Configuration Service (acs) - Atheros - C:\WINDOWS\system32\acs.exe O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\Lenovo\ATK Hotkey\GFNEXSrv.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Google Update Service (gupdate1c9aef164ddbe98) (gupdate1c9aef164ddbe98) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe O23 - Service: ThinkPad PM Service for SL Series (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: Service of LFKA (LFKAS) - Unknown owner - C:\Program Files\Lenovo\ATK Hotkey\LFKAS.exe O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE O23 - Service: Power Manager DBC Service - Unknown owner - C:\Program Files\ThinkPad\Utilities\PWMDBSVC.EXE O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe -- End of file - 10349 bytes HC |
|
27.04.2009, 19:40
| #3 | ||
| | staendig .exe-dateien auf Speicherkmedien (immer 1376 KB).txt Hi HarryCane
__________________da hast aufjedenfall ein großes Problem: Zitat:
Starte HijackThis nochmal->"Do a System Scan only" Vor Die oben genannte Zeile ein Häckchen rein durch anklicken. Dann auf Fix Checked klicken(evtl startet Rechner neu). Lade Dir dann noch Blacklight runter,laße die Software nach Rootkits suchen Danach Versuche mal Folgendes an Virustotal zu senden: Zitat:
Starte dann mal Malwarebytes versuche ob das Update geht(Neuste Version ist 2049 ), wenn ja wieder kompletten Suchlauf MfG Ghost1975 Geändert von Ghost1975 (27.04.2009 um 19:52 Uhr) |
|
28.04.2009, 04:49
| #4 |
| | staendig .exe-dateien auf Speicherkmedien (immer 1376 KB).txt Danke erstmal fuer die Auswertung @ Ghost1975. Blacklight hat nix gefunden. Hier sind die logs von Virustotal: SV-7668.EXE: Code:
ATTFilter Datei SV-7668.EXE empfangen 2009.04.28 04:51:45 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 21/40 (52.5%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.04.28 Trojan.Dloader!IK
AhnLab-V3 5.0.0.2 2009.04.27 -
AntiVir 7.9.0.156 2009.04.27 -
Antiy-AVL 2.0.3.1 2009.04.27 -
Authentium 5.1.2.4 2009.04.27 W32/Agent.CM.gen!Eldorado
Avast 4.8.1335.0 2009.04.27 Win32:Adware-gen
AVG 8.5.0.287 2009.04.27 -
BitDefender 7.2 2009.04.28 -
CAT-QuickHeal 10.00 2009.04.27 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.04.27 -
Comodo 1138 2009.04.27 -
DrWeb 4.44.0.09170 2009.04.28 -
eSafe 7.0.17.0 2009.04.27 Win32.DLoader.Ldby
eTrust-Vet 31.6.6478 2009.04.27 -
F-Prot 4.4.4.56 2009.04.27 W32/Agent.CM.gen!Eldorado
F-Secure 8.0.14470.0 2009.04.28 W32/DLoader.LDBY
Fortinet 3.117.0.0 2009.04.28 W32/Flystudio!tr
GData 19 2009.04.28 Win32:Adware-gen
Ikarus T3.1.1.49.0 2009.04.28 Trojan.Dloader
K7AntiVirus 7.10.717 2009.04.27 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.04.28 not-a-virus:AdWare.Win32.FlyStudio.d
McAfee 5598 2009.04.27 Flystudio
McAfee+Artemis 5598 2009.04.27 Generic!Artemis
McAfee-GW-Edition 6.7.6 2009.04.27 -
Microsoft 1.4602 2009.04.27 -
NOD32 4038 2009.04.27 -
Norman 6.00.06 2009.04.27 W32/DLoader.LDBY
nProtect 2009.1.8.0 2009.04.28 -
Panda 10.0.0.14 2009.04.27 Trj/CI.A
PCTools 4.4.2.0 2009.04.27 -
Prevx1 3.0 2009.04.28 Medium Risk Malware
Rising 21.27.10.00 2009.04.28 -
Sophos 4.41.0 2009.04.28 Mal/EncPk-GF
Sunbelt 3.2.1858.2 2009.04.24 -
Symantec 1.4.4.12 2009.04.28 -
TheHacker 6.3.4.1.315 2009.04.27 -
TrendMicro 8.700.0.1004 2009.04.27 PAK_Generic.001
VBA32 3.12.10.3 2009.04.27 AdWare.Win32.FlyStudio.d
ViRobot 2009.4.27.1710 2009.04.27 Adware.FlyStudio.23552
VirusBuster 4.6.5.0 2009.04.27 -
weitere Informationen
File size: 23552 bytes
MD5...: 482204e0873b136be4fd3658bf544209
SHA1..: ea306930290844c05fda9308a42d4a14e99f093b
SHA256: db326cbc74fdb7e8d883fef843f33fe445a242e0cadbd00c9ee5110b3cc8ffb5
SHA512: 7cc8f6352fa3ed69d3106dc86b03ee2f2ba9ab1791edfb210e85585bb126d10e
b7fc89f319b7de6ed3342d6067449492c029fc9cb24c8b7847424ca3dd07355a
ssdeep: 384:3lIXmh9HE2iFIxsB+JhypNd82IvhSd7qAJDRzHjPRSHnPXcOYvGokH35HZ26
:yXahiuKYGYS8IDRzjRveNH35HZ
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.5%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x13a3
timedatestamp.....: 0x59bffa3 (Mon Dec 25 05:33:23 1972)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x634 0x800 6.35 670de93abc41436c91f2e4974ff0f7f9
.rdata 0x2000 0x194 0x200 3.64 684bd04c4e90ebb1ac24b9d56ab5240e
.data 0x3000 0x4c00 0x4c00 6.98 b600dd4ec962fca6e87e3036c234a75e
.rsrc 0x8000 0x1e0 0x200 1.49 0df648b5941b012f5779e4733013bde2
( 3 imports )
> USER32.dll: MessageBoxA
> KERNEL32.dll: FreeLibrary, lstrcatA, GetModuleFileNameA, ExitProcess, LoadLibraryA, GetProcAddress, lstrlenA
> ADVAPI32.dll: RegQueryValueExA, RegCloseKey, RegOpenKeyExA
( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
packers (Kaspersky): PE-Crypt.CF
74BE16.EXE: Code:
ATTFilter Datei 74BE16.EXE empfangen 2009.04.28 05:05:36 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 23/40 (57.5%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.04.28 Trojan.Peed!IK
AhnLab-V3 5.0.0.2 2009.04.27 -
AntiVir 7.9.0.156 2009.04.27 TR/Dropper.Gen
Antiy-AVL 2.0.3.1 2009.04.27 -
Authentium 5.1.2.4 2009.04.27 W32/Nuj.A.gen!Eldorado
Avast 4.8.1335.0 2009.04.27 Win32:Trojan-gen {Other}
AVG 8.5.0.287 2009.04.27 SHeur2.ACBC
BitDefender 7.2 2009.04.28 Dropped:Trojan.Peed.Gen
CAT-QuickHeal 10.00 2009.04.27 Win32.Trojan-Dropper.Flystud.ko.5.Pack
ClamAV 0.94.1 2009.04.27 -
Comodo 1138 2009.04.27 -
DrWeb 4.44.0.09170 2009.04.28 -
eSafe 7.0.17.0 2009.04.27 Win32.TRDropper
eTrust-Vet 31.6.6478 2009.04.27 -
F-Prot 4.4.4.56 2009.04.27 W32/Nuj.A.gen!Eldorado
F-Secure 8.0.14470.0 2009.04.28 -
Fortinet 3.117.0.0 2009.04.28 PossibleThreat
GData 19 2009.04.28 Dropped:Trojan.Peed.Gen
Ikarus T3.1.1.49.0 2009.04.28 Trojan.Peed
K7AntiVirus 7.10.717 2009.04.27 Trojan.Win32.Malware.4
Kaspersky 7.0.0.125 2009.04.28 -
McAfee 5598 2009.04.27 W32/Autorun.worm.ev
McAfee+Artemis 5598 2009.04.27 W32/Autorun.worm.ev
McAfee-GW-Edition 6.7.6 2009.04.27 Trojan.Dropper.Gen
Microsoft 1.4602 2009.04.27 Backdoor:Win32/FlyAgent.F
NOD32 4038 2009.04.27 -
Norman 6.00.06 2009.04.27 -
nProtect 2009.1.8.0 2009.04.28 -
Panda 10.0.0.14 2009.04.27 Trj/CI.A
PCTools 4.4.2.0 2009.04.27 -
Prevx1 3.0 2009.04.28 High Risk Worm
Rising 21.27.10.00 2009.04.28 Trojan.Win32.ECode.ee
Sophos 4.41.0 2009.04.28 Mal/EncPk-GF
Sunbelt 3.2.1858.2 2009.04.24 Backdoor-Win32/FlyAgent.F
Symantec 1.4.4.12 2009.04.28 -
TheHacker 6.3.4.1.315 2009.04.27 -
TrendMicro 8.700.0.1004 2009.04.27 -
VBA32 3.12.10.3 2009.04.27 Trojan-Dropper.Win32.Flystud.ko
ViRobot 2009.4.27.1710 2009.04.27 -
VirusBuster 4.6.5.0 2009.04.27 -
weitere Informationen
File size: 1408615 bytes
MD5...: d5b9d8a9abad56d6eb7749d52dfede02
SHA1..: b2836237f7a480965f7beeb5f0265ccf05163279
SHA256: 8e0929294f70cfbaca17f75957e1fbd3844a7b2e4a0eb96ebf34703bcfc04f5c
SHA512: 8bf123159ec148f086a1d99cf9e475a7e266232e89a69e2ef657ad40a3b92dc5
0408cc7edc1a436d274fd2d9bf9608528f7228c0f486f5172c64e5723fe17ec2
ssdeep: 24576:o8SE2BO6B5qXXJMT/ch+Jo0SuaPVoHwP313DjF2ouvXQ:iEyO6rqXZMjcu
4BBd2Q
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (62.9%)
Win32 Executable Generic (14.2%)
Win32 Dynamic Link Library (generic) (12.6%)
Clipper DOS Executable (3.3%)
Generic Win/DOS Executable (3.3%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x13ee
timedatestamp.....: 0x59bffa3 (Mon Dec 25 05:33:23 1972)
machinetype.......: 0x14c (I386)
( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x51ec 0x6000 6.93 42c32c32497a3c84771989d4569cf923
.rdata 0x7000 0xa4a 0x1000 3.58 367b7ce38d0c4c17f01e370dc697df5b
.data 0x8000 0x1f58 0x2000 4.62 07f6f654a43a662715b6fb6bad092be3
.data 0xa000 0x22000 0x22000 7.81 cd9f816ed644d2f7d2416f2010462e2e
.rsrc 0x2c000 0x45b0 0x5000 3.65 223375ba53657b261ff1e6bb366d47e5
( 2 imports )
> KERNEL32.dll: GetProcAddress, LoadLibraryA, CloseHandle, WriteFile, CreateDirectoryA, GetTempPathA, ReadFile, SetFilePointer, CreateFileA, GetModuleFileNameA, GetStringTypeA, LCMapStringW, LCMapStringA, HeapAlloc, HeapFree, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, RtlUnwind, GetCPInfo, GetACP, GetOEMCP, MultiByteToWideChar, GetStringTypeW
> USER32.dll: MessageBoxA, wsprintfA
( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
HC |
|
28.04.2009, 05:08
| #5 |
| | staendig .exe-dateien auf Speicherkmedien (immer 1376 KB).txt so, her is das log-file vom Malwarebytes: Code:
ATTFilter Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2051
Windows 5.1.2600 Service Pack 3
28.04.2009 11:59:54
mbam-log-2009-04-28 (11-59-54).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 136417
Laufzeit: 30 minute(s), 11 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
D:\x-kj\prog\Adobe Acrobat v8 Professional_D\cxxck\kexxen.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
|
|
28.04.2009, 05:22
| #6 |
| | staendig .exe-dateien auf Speicherkmedien (immer 1376 KB).txt Achso, und der eXec 3.0 - explorer zeigt mir noch, dass auch eine versteckte autorun.inf (1KB) und eine Recycle.exe (1376KB) erstellt werden. Wo sitzt denn das Biest nur?  HC |
|
| Themen zu staendig .exe-dateien auf Speicherkmedien (immer 1376 KB).txt |
| .exe-dateien, adware.cydoor, ccleaner, center, code, dateien, disabled.securitycenter, erstellt, folge, funktioniert, laptop, malwarebytes' anti-malware, microsoft, namen, norton, offen, problem, registrierungsschlüssel, scan, scannen, security, seite, seiten, software, sp3, speicherkarte, update, updaten, usb-stick, version, windows |
Hybrid-Darstellung
