Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   b71b77f5.exe - Ordner auf externen Speichermedien werden zu Verknüpfungen nach cmd.exe (https://www.trojaner-board.de/101299-b71b77f5-exe-ordner-externen-speichermedien-verknuepfungen-cmd-exe.html)

Johnny-Rocko 13.07.2011 17:05
b71b77f5.exe - Ordner auf externen Speichermedien werden zu Verknüpfungen nach cmd.exe
 
Folgendes Problem ist vor einiger Zeit aufgetaucht: Die Ordner auf meiner externen Festplatte sowie auf jedem beliebigen Stick, den ich anschliesse, werden zu Verknuepfungen (%windir%\system32\cmd.exe /c "start %cd%RECYCLER\b71b77f5.exe &&%windir%\explorer.exe %cd%Ordnername).
Offensichtlich wird dabei auch b71b77f5.exe ausgefuehrt, was versteckt in den Ordner "RECYCLER" kopiert wird, sobald man einen Stick o. ä. anschliesst.

Ich weiss nicht genau, was das fuer ein Virus ist, ich vermute jedoch, dass es ein Keylogger oder so fuer Bankdaten ist. Ich bin seit einiger Zeit in Kolumbien, und den Hinweis, dass es ein Keylogger ist, hab ich in einem kolumbianischen Forum gefunden. Leider finde ich die Seite nicht mehr, falls sie nochmal auftauchen sollte, haenge ich sie an.

Ausserdem tauchen im OTL-Log im ersten Drittel bei "Hosts" eine ganze Liste Internetseiten auf, die alle zu kolumbianischen Banken gehoeren. (avvillas.com.co, bancocajasocial.com.co usw.)

Da ich auf meinem Laptop mittlerweile kein Internet mehr hab und sowieso kein Internetbanking bei kolumbianischen Banken mache, hab ich nicht allzugrosse sorgen. Das mit den Verknuepfungen nervt trotzdem, ausserdem verteilt er sich aggresiv ueber jedes Speichermedium, das in den PC gesteckt
wird.

Vielen Dank fuer eure Hilfe! Jonas

cosinus 13.07.2011 20:45
Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Johnny-Rocko 13.07.2011 22:38
Ich hab leider kein Internet an meinem PC, ich werd aber versuchen ein moeglichst akuelles manuelles Update fuer Malwarebytes zu bekommen. Hast du da eine Adresse? Vielen Dank.

cosinus 13.07.2011 23:13
http://data.mbamupdates.com/tools/mbam-rules.exe

Johnny-Rocko 18.07.2011 19:08
100% aktuell ist das natuerlich nicht, scheint aber geholfen zu haben! Der hat eine erschreckende Liste von Viren gefunden, von denen ich gar nichts wusste. Braucht ihr die Logs aus dem ersten Eintrag nochmal aktuell?

Zitat:
Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6705

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

15.07.2011 06:52:13
mbam-log-2011-07-15 (06-52-13).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|H:\|M:\|)
Durchsuchte Objekte: 330451
Laufzeit: 1 Stunde(n), 20 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 23

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{67KLN5J0-4OPM-00WE-AAX5-77EF1D187562} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{67KLN5J0-4OPM-00WE-AAX5-77EF1D187562} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{67KLN5J0-4OPM-00WE-AAX5-77EF1D187562} (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\RESTORE\k-1-3542-4232123213-7676767-8888886 (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\RESTORE\k-1-3542-4232123213-7676767-8888886\MSGZ.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Jonas\anwendungsdaten\4F.tmp (Spyware.Banker) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Jonas\anwendungsdaten\54.tmp (Spyware.Banker) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Jonas\anwendungsdaten\7.tmp (Spyware.Banker) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Jonas\anwendungsdaten\8.tmp (Spyware.Banker) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Jonas\anwendungsdaten\D.tmp (Spyware.Banker) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\jonas\anwendungsdaten\njpipv.exe (Spyware.Banker) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Jonas\lokale einstellungen\Temp\awyt5sqj.exe (Spyware.Banker) -> Quarantined and deleted successfully.
c:\system volume information\_restore{4e3fac10-6f5c-4248-a882-6785d0836f4c}\RP256\A0089258.exe (Spyware.Banker) -> Quarantined and deleted successfully.
c:\system volume information\_restore{4e3fac10-6f5c-4248-a882-6785d0836f4c}\RP258\A0090335.exe (Spyware.Banker) -> Quarantined and deleted successfully.
c:\system volume information\_restore{4e3fac10-6f5c-4248-a882-6785d0836f4c}\RP260\A0090457.exe (Spyware.Banker) -> Quarantined and deleted successfully.
c:\system volume information\_restore{4e3fac10-6f5c-4248-a882-6785d0836f4c}\RP278\A0092035.exe (Spyware.Banker) -> Quarantined and deleted successfully.
h:\programme\Grafik\adobe cs4 masters collection\keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
h:\programme\musik und av\Notation\guitar pro 5\keygen.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
h:\programme\musik und av\plugins und standalone\guitar rig 2\KEYGEN.EXE (Malware.Packer.Gen) -> Quarantined and deleted successfully.
h:\RECYCLER\b71b77f5.exe (Spyware.Banker) -> Quarantined and deleted successfully.
h:\system volume information\_restore{4e3fac10-6f5c-4248-a882-6785d0836f4c}\RP258\A0090323.exe (Spyware.Banker) -> Quarantined and deleted successfully.
h:\system volume information\_restore{4e3fac10-6f5c-4248-a882-6785d0836f4c}\RP258\A0090369.exe (Spyware.Banker) -> Quarantined and deleted successfully.
h:\system volume information\_restore{4e3fac10-6f5c-4248-a882-6785d0836f4c}\RP259\A0090435.exe (Spyware.Banker) -> Quarantined and deleted successfully.
h:\system volume information\_restore{4e3fac10-6f5c-4248-a882-6785d0836f4c}\RP260\A0090465.exe (Spyware.Banker) -> Quarantined and deleted successfully.
h:\system volume information\_restore{4e3fac10-6f5c-4248-a882-6785d0836f4c}\RP278\A0092051.exe (Spyware.Banker) -> Quarantined and deleted successfully.
m:\RECYCLER\b71b77f5.exe (Spyware.Banker) -> Quarantined and deleted successfully.
c:\RESTORE\k-1-3542-4232123213-7676767-8888886\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully.
So 100% sauber scheint der PC aber noch nicht zu sein. Auf einem fremden PC werden die Ordner nun versteckt angezeigt, aber das "versteckt"-Haekchen in Eigenschaften ist grau und kann nicht entfernt werden. Auf meinem Computer werden bisher weiterhin die Verknuepfungen angezeigt, nur das sie natuerlich nicht mehr funktionieren, seit "b71b77f5.exe" nicht mehr existiert. Man kommt also auf den externen Speichermedien nur ueber Eingabe in die Adresszeile in die Ordner.

Wenigstens kopiert sich der Virus nun nicht mehr automatisch auf den Stick.

:dankeschoen:

cosinus 18.07.2011 19:24
Zitat:
h:\programme\Grafik\adobe cs4 masters collection\keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
h:\programme\musik und av\Notation\guitar pro 5\keygen.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
h:\programme\musik und av\plugins und standalone\guitar rig 2\KEYGEN.EXE (Malware.Packer.Gen) -> Quarantined and deleted successfully.
:pfui:

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:34 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129