moin liebe Forengemeinde,
ich habe mir vor kurzem (aufgrund absoluter Dummheit) einen Schädling eingefangen. Die .exe des Schädlings habe ich auch noch auf der Platte, falls das irgendwie beim Support helfen kann.
AntiVir hatte das Ding leider nicht erkannt, habe es dann gestern Abend gleich mal dort als File eingesendet und mit dem heutigen Update wird es jetzt als TR/Agent.AG.10500 erkannt. Andere Antivirenscanner haben das Ding bei Virustotal noch als "Fraudpack" identifiziert.

Als erstes hatte ich mir erstmal nach dem Verdacht ein HijackThis Log gemacht, welches aber komplett unauffällig war. (Verdacht kam übrigends dadurch auf, dass die .exe nach dem Ausführen wie durch Zauberei weg war)
Danach bin ich jetzt die Liste an Programmen durchgegangen, die in diesem Forum ausgeschrieben ist. Logs hänge ich an.
Auffällig war das ich beim CCleaner einen Eintrag absolut nicht wegbekomme.

Neben dem Dank für etwaige Leute, die sich mit meiner Problematik befassen, hätte ich noch eine kleine Bitte: Ich interessiere mich auch selbst für die Thematik, daher fände ich es sehr nett, wenn die Hilfeleistenden mir ihre Schlüsse aus den Logs und die zu benutzenden Programme erklären würden. Das wäre wirklich klasse.

Nochmals vielen Dank schon einmal für die Hilfe
darkzzz

darkzzz, ich habe eine Frage an dich. Das ist mir jetzt etwas peinlich.
Ich habe selber ein kleines Problem und habe noch keinen Tread gefunden, wo das angesprochen wurde, also will ich einen neuen Thread öffnen.
Kannst du mir sagen wie das geht? Ich chekc die Seite irgendwie nicht so...
(tut mir echt leid, ich weiß dass man eigentlich nur ZUM THEMA PASSEND antworten soll)

Zitat:

Zitat von Koalis

darkzzz, ich habe eine Frage an dich. Das ist mir jetzt etwas peinlich.
Ich habe selber ein kleines Problem und habe noch keinen Tread gefunden, wo das angesprochen wurde, also will ich einen neuen Thread öffnen.
Kannst du mir sagen wie das geht? Ich chekc die Seite irgendwie nicht so...
(tut mir echt leid, ich weiß dass man eigentlich nur ZUM THEMA PASSEND antworten soll)

moin,
ich habe dir mal einen Screenshot erstellt, wo du ein neues Thema erstellen kannst. (nicht über die komischen Farben wundern, habe die Qualität auf 16 Bit gestellt, damit das net so groß ist)
http://picfront.de/d/177ZAnB0uw/Unbenannt.png

darkzzz

Viele vielen Dank. Vllt hast du ja ne antwort zu meiner Frage.
Thema lautet: Bevor Daten auf PC zurück -> Viren entfernen (ja es ist ne dumme überschrift) .. sie wird in einigen minuten erstellt sein.
nochmals danke !

Hallo

Zitat:

ich habe mir vor kurzem (aufgrund absoluter Dummheit) einen Schädling eingefangen.

Die da wäre?

Zitat:

Die .exe des Schädlings habe ich auch noch auf der Platte, falls das irgendwie beim Support helfen kann.

Ja kann sehr wohl, lass die Datei hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern), poste die gesamten Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben oder verlinke auf die Auswertung, bitte auch wenn nichts gefunden wurde.

Führe bitte aus:

Zitat:

Zitat von cosinus

Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus. VISTA-User: Rechtsklick => Ausführen als Admin!!
Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

und mit GMER auf Rootkit prüfen.
Poste alle Logs hierher.

BTW. deine Hostsdatei sieht eigenartig aus, kannst du mir die Einträge darin erklären?

MFG

Zitat:

Zitat von nochdigger

Hallo


Die da wäre?


Ja kann sehr wohl, lass die Datei hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern), poste die gesamten Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben oder verlinke auf die Auswertung, bitte auch wenn nichts gefunden wurde.

Führe bitte aus:

und mit GMER auf Rootkit prüfen.
Poste alle Logs hierher.

BTW. deine Hostsdatei sieht eigenartig aus, kannst du mir die Einträge darin erklären?

MFG

moin,
die Dummheit war eine .exe von einer dubiosen Seite runterzuladen und sie auszuführen.

Zitat:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.46 2010.01.02 Trojan.Win32.FakeAV!IK
AhnLab-V3 5.0.0.2 2010.01.02 Win-Trojan/Malware.158720.G
AntiVir 7.9.1.122 2009.12.31 TR/Agent.AG.10500
Antiy-AVL 2.0.3.7 2009.12.31 Packed/Win32.Krap.gen
Authentium 5.2.0.5 2010.01.02 W32/FraudPack!Generic
Avast 4.8.1351.0 2010.01.02 -
AVG 8.5.0.430 2010.01.02 Downloader.Generic9.ABYO
BitDefender 7.2 2010.01.02 -
CAT-QuickHeal 10.00 2010.01.02 Win32.Packed.Krap.ag.6
ClamAV 0.94.1 2010.01.01 -
Comodo 3448 2010.01.02 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.1.12222 2010.01.02 Trojan.Packed.706
eSafe 7.0.17.0 2009.12.31 -
eTrust-Vet 35.1.7210 2010.01.01 Win32/Warduncrypt!packed
F-Prot 4.5.1.85 2010.01.02 W32/FraudPack!Generic
F-Secure 9.0.15370.0 2010.01.02 Trojan-Downloader:W32/Renos.gen!Q
Fortinet 4.0.14.0 2010.01.02 W32/Krap.A
GData 19 2010.01.02 -
Ikarus T3.1.1.79.0 2009.12.31 Trojan.Win32.FakeAV
Jiangmin 13.0.900 2010.01.02 Packed.Krap.axcn
K7AntiVirus 7.10.936 2010.01.02 Packed.Win32.Krap.ag
Kaspersky 7.0.0.125 2010.01.02 Packed.Win32.Krap.ag
McAfee 5849 2010.01.02 Downloader-BWS
McAfee+Artemis 5849 2010.01.02 Downloader-BWS
McAfee-GW-Edition 6.8.5 2010.01.01 Trojan.Agent.AG.10500
Microsoft 1.5302 2010.01.02 TrojanDownloader:Win32/Renos
NOD32 4737 2010.01.02 a variant of Win32/Kryptik.BNG
Norman 6.04.03 2009.12.31 -
nProtect 2009.1.8.0 2009.12.31 Trojan/W32.Krap.158720.L
Panda 10.0.2.2 2010.01.02 Trj/CI.A
PCTools 7.0.3.5 2010.01.02 Trojan.FakeAV
Prevx 3.0 2010.01.02 -
Rising 22.28.03.04 2009.12.31 -
Sophos 4.49.0 2010.01.02 Mal/FakeAV-BZ
Sunbelt 3.2.1858.2 2010.01.01 Trojan.Win32.FraudPack.gen (v)
TheHacker 6.5.0.3.125 2010.01.02 -
TrendMicro 9.120.0.1004 2010.01.02 TROJ_FAKEAV.SMCH
VBA32 3.12.12.1 2010.01.01 -
ViRobot 2009.12.31.2118 2009.12.31 -
VirusBuster 5.0.21.0 2010.01.01 Trojan.Fraudload.Gen!Pac.11
weitere Informationen
File size: 158720 bytes
MD5 : d7abfbec595547e1ccebff165434e01d
SHA1 : 90ff399e6b80e3b13fc8e5761d811837c5b496ce
SHA256: 5ca7bd3f4f523dd5c1411c77e2dc7dd92d8bc1b433e9f69fecc63987f261adee
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1406
timedatestamp.....: 0x46324EAE (Fri Apr 27 21:27:42 2007)
machinetype.......: 0x14C (Intel I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.lkbnd 0x1000 0x35DC 0x3600 1.43 821123a01db0ddcdd36ad0e6875bd571
.bhof 0x5000 0xCD28 0xCE00 0.70 b5c08ba589ee4e3180f40dff29dab3ae
.ddaca 0x12000 0x636D3 0x15800 4.03 6bd5080dd267aa9cb8c1a95262c047df
.cloig 0x76000 0x1EE 0x200 4.45 8c27650e39abeb3595bc70ecd94ca6a4
.jbhol 0x77000 0x465 0x600 0.00 53e979547d8c2ea86560ac45de08ae25
.rsrc 0x78000 0x23B 0x400 3.45 2376848f33d7def5bd7b690b06938a87

( 3 imports )

> advapi32.dll: RegOpenKeyExA, RegOpenKeyExW, RegCreateKeyExA, RegDeleteValueW, RegQueryValueExA, RegDeleteKeyA, RegCreateKeyA
> kernel32.dll: DeleteFileW, ExitProcess
> user32.dll: LoadCursorA, AppendMenuW, GetFocus, IsWindow, DialogBoxParamW, GetCursor

( 0 exports )
TrID : File type identification
Win32 Executable Generic (38.5%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
ssdeep: 768:+KY62ocYYyFiBoJTJ7Zaz9WmHFsVSjHgMCPPbWdn479HiY9OA6U:+dVYYyFiB8E9WmlsagrzWBci/L
PEiD : -
RDS : NSRL Reference Data Set
-

Des weiteren hat mir Antivir folgende Meldung ausgespuckt (die Datei ist nicht löschbar und ich kann nicht auf den Ordner zugreifen):

Zitat:

In der Datei 'C:\System Volume Information\_restore{0E55801E-B9BB-4E7D-BEA6-2DFCDBB9874C}\RP91\A0017734.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Jetzt noch die Logs, wobei anzumerken ist, dass GMER ein paar mal meinen PC gecrasht hat. D.h. ich habe GMER natürlich über Nacht laufen lassen und als ich früh nach den Ergebnissen gucken wollte, war mein PC neu hochgefahren und Windows meinte, dass es einen schwerwiegenden Fehler gab.

Was genau meinst du denn mit den Einträgen in der Hostsdatei ?

darkzzz