Trojaner-Board
Seite 4 von 4 « Erste 23 4
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   2 Trojaner aufm pc Turkojan und unbekannt :( (https://www.trojaner-board.de/75618-2-trojaner-aufm-pc-turkojan-unbekannt.html)

Luky-XXL 22.07.2009 22:09
Hey nochmal hab ich vorhin garnich aus eile gesagt was is eigentlich ein RAT???
Und könntest du mir das nochmal mit den Treibern für WIN XP erklären?
Solle ich dafür vil. neues Thema eröffnen oder gehört das hier überhaupt hin?

john.doe 22.07.2009 22:16
Zitat:
Hey nochmal hab ich vorhin garnich aus eile gesagt was is eigentlich ein RAT?
Remote Administration Tool. Turkojan und Bifrost, du erinnerst dich?
Zitat:
Und könntest du mir das nochmal mit den Treibern für WIN XP erklären?
Wenn du SP3 installiert hast, dann erkennt XP üblicherweise die komplette Hardware, Ausnahmen sind Laptops, die für jeden Dreck ein Extra-Treiber brauchen.

Hier ist es ausführlich erklärt => http://www.trojaner-board.de/63543-a...ibersuche.html

Hast du schon mit deinen Eltern über deren Rechner gesprochen?

ciao, andreas

Luky-XXL 22.07.2009 22:56
ja hab ich und ich werde den rechner gleich morgen aufsetzen oder mein vadder ruft ein typ an der isch damit auskennt ob wohl ich dach auch machen könnte
ach egal...
ich geh dann auch mal pennen also hau rein ty nochma :D

Luky

john.doe 22.07.2009 22:57
Dann kann ich dich entlassen. :)

ciao, andreas

john.doe 09.08.2009 19:08
Es ist schon interessant zu beobachten, wie von den 39 angemailten AVP/AMP-Herstellern reagiert wird. Die Mails wurden am 23.7. um 17:17 Uhr verschickt. Der erste Download erfolgte am 23.7. um 17:41 Uhr. Der letzte am 27.7. um 13:02 Uhr. Von den 39 Herstellern habe gerade einmal 14 die Dateien geladen. Klar, Malwarebytes zeigt ja auch nur Bifrost an, wird schon nicht so schlimm sein. :schmoll:

Es gibt schon einen Grund, warum ich kein AVP benutze.

Code:
Datei svchost.exe empfangen 2009.08.09 18:05:44 (UTC)
Status:    Beendet
Ergebnis: 6/40 (15%)
 Filter
Drucken der Ergebnisse  Antivirus        Version        letzte aktualisierung        Ergebnis
AhnLab-V3        5.0.0.2        2009.08.08        -
AntiVir        7.9.0.248        2009.08.09        TR/Spy.Agent.ixe
Antiy-AVL        2.0.3.7        2009.08.07        -
Authentium        5.1.2.4        2009.08.09        -
Avast        4.8.1335.0        2009.08.08        -
AVG        8.5.0.406        2009.08.09        -
BitDefender        7.2        2009.08.09        -
CAT-QuickHeal        10.00        2009.08.08        -
ClamAV        0.94.1        2009.08.07        -
Comodo        1922        2009.08.09        -
DrWeb        5.0.0.12182        2009.08.09        -
eSafe        7.0.17.0        2009.08.09        -
eTrust-Vet        31.6.6667        2009.08.08        -
F-Prot        4.4.4.56        2009.08.09        -
F-Secure        8.0.14470.0        2009.08.09        -
Fortinet        3.120.0.0        2009.08.09        -
GData        19        2009.08.09        -
Ikarus        T3.1.1.64.0        2009.08.09        Win32.Outbreak
Jiangmin        11.0.800        2009.08.09        -
K7AntiVirus        7.10.814        2009.08.08        -
Kaspersky        7.0.0.125        2009.08.09        -
McAfee        5704        2009.08.09        -
McAfee+Artemis        5704        2009.08.09        -
McAfee-GW-Edition        6.8.5        2009.08.09        Trojan.Spy.Agent.ixe
Microsoft        1.4903        2009.08.09        -
NOD32        4319        2009.08.09        -
Norman        6.01.09        2009.08.07        -
nProtect        2009.1.8.0        2009.08.09        -
Panda        10.0.0.14        2009.08.09        -
PCTools        4.4.2.0        2009.08.09        -
Prevx        3.0        2009.08.09        Medium Risk Malware
Rising        21.41.62.00        2009.08.09        -
Sophos        4.44.0        2009.08.09        Mal/GamePSW-C
Sunbelt        3.2.1858.2        2009.08.09        -
Symantec        1.4.4.12        2009.08.09        -
TheHacker        6.3.4.3.378        2009.08.08        -
TrendMicro        8.950.0.1094        2009.08.08        -
VBA32        3.12.10.9        2009.08.09        -
ViRobot        2009.8.8.1875        2009.08.08        -
VirusBuster        4.6.5.0        2009.08.09        TrojanSpy.Agent.NIWT
weitere Informationen
File size: 73729 bytes
MD5...: 4456aea8dfde1edfc05d7fa85780ba54
SHA1..: 190967915cb31dd2ec6256662a464c577a48411a
SHA256: 09f3073e334661f75e5e0ae0bf4afe0ee50448be29a983d69cd0a4321f1f9c63
ssdeep: 384:mXI2oVXstkGV7RGhVUxbCR4jV/AB9a6kH/W1xq3UZU9w1xq3UZU9kw:etkU7
LFW4pAB9EfUZU9qZU9/
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x224b
timedatestamp.....: 0x4853c0e8 (Sat Jun 14 13:00:24 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x176b 0x2000 5.02 dedc57697fa7b9189a307eb7d11812be
.rdata 0x3000 0x10ca 0x2000 3.42 86b5561120136059778b8cb23148df2e
.data 0x5000 0x4d4 0x1000 0.14 736e8bcc590ada821603a677ad2d0ab6
.rsrc 0x6000 0xbe0c 0xc000 4.37 ea973c4df23b679d7749055891235243

( 6 imports )
> WININET.dll: InternetCloseHandle, FtpPutFileA, InternetConnectA, InternetOpenA
> KERNEL32.dll: QueryPerformanceCounter, CreateThread, TerminateThread, Sleep, GetModuleHandleW, GetModuleFileNameA, GetSystemDirectoryA, CreateDirectoryA, CopyFileA, GetTickCount, TerminateProcess, IsDebuggerPresent, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, GetStartupInfoW, InterlockedCompareExchange, InterlockedExchange, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime
> USER32.dll: FindWindowA, GetAsyncKeyState, DefWindowProcW, KillTimer, EndPaint, BeginPaint, CreateWindowExW, RegisterClassExW, DispatchMessageW, TranslateMessage, GetMessageW, SetTimer, PostQuitMessage
> ADVAPI32.dll: RegQueryValueExA, RegCloseKey, RegSetValueExA, RegOpenKeyExA
> MSVCP80.dll: __$_HDU_$char_traits@D@std@@V_$allocator@D@1@@std@@YA_AV_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@0@PBDABV10@@Z, __$_HDU_$char_traits@D@std@@V_$allocator@D@1@@std@@YA_AV_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@0@ABV10@PBD@Z, __$_9DU_$char_traits@D@std@@V_$allocator@D@1@@std@@YA_NABV_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@0@PBD@Z, __4_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV01@ABV01@@Z, __0_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@XZ, __0_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@PBD@Z, __1_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@XZ, __4_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV01@PBD@Z
> MSVCR80.dll: __p__commode, __p__fmode, __set_app_type, _crt_debugger_hook, _except_handler4_common, __CxxFrameHandler3, _controlfp_s, _invoke_watson, __3@YAXPAX@Z, fopen, fputs, fclose, fputc, atoi, __2@YAPAXI@Z, _unlock, _encode_pointer, __dllonexit, _lock, _onexit, _decode_pointer, _amsg_exit, __wgetmainargs, _cexit, _exit, _XcptFilter, exit, _wcmdln, _initterm, _initterm_e, _configthreadlocale, __setusermatherr, _adjust_fdiv

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=4456aea8dfde1edfc05d7fa85780ba54' target='_blank'>http://www.threatexpert.com/report.aspx?md5=4456aea8dfde1edfc05d7fa85780ba54</a>
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=1931847E012D0F4320AB012DDDE82A003CC5645D' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=1931847E012D0F4320AB012DDDE82A003CC5645D</a>
Code:
Datei WindowsUpdate.exe empfangen 2009.08.09 18:28:24 (UTC)
Status:    Beendet
Ergebnis: 7/41 (17.08%)
 Filter
Drucken der Ergebnisse  Antivirus        Version        letzte aktualisierung        Ergebnis
a-squared        4.5.0.24        2009.08.09        Win32.Outbreak!IK
AhnLab-V3        5.0.0.2        2009.08.08        -
AntiVir        7.9.0.248        2009.08.09        TR/Spy.Agent.ixe
Antiy-AVL        2.0.3.7        2009.08.07        -
Authentium        5.1.2.4        2009.08.09        -
Avast        4.8.1335.0        2009.08.08        -
AVG        8.5.0.406        2009.08.09        -
BitDefender        7.2        2009.08.09        -
CAT-QuickHeal        10.00        2009.08.08        -
ClamAV        0.94.1        2009.08.07        -
Comodo        1922        2009.08.09        -
DrWeb        5.0.0.12182        2009.08.09        -
eSafe        7.0.17.0        2009.08.09        -
eTrust-Vet        31.6.6667        2009.08.08        -
F-Prot        4.4.4.56        2009.08.09        -
F-Secure        8.0.14470.0        2009.08.09        -
Fortinet        3.120.0.0        2009.08.09        -
GData        19        2009.08.09        -
Ikarus        T3.1.1.64.0        2009.08.09        Win32.Outbreak
Jiangmin        11.0.800        2009.08.09        -
K7AntiVirus        7.10.814        2009.08.08        -
Kaspersky        7.0.0.125        2009.08.09        -
McAfee        5704        2009.08.09        -
McAfee+Artemis        5704        2009.08.09        -
McAfee-GW-Edition        6.8.5        2009.08.09        Trojan.Spy.Agent.ixe
Microsoft        1.4903        2009.08.09        -
NOD32        4319        2009.08.09        -
Norman        6.01.09        2009.08.07        -
nProtect        2009.1.8.0        2009.08.09        -
Panda        10.0.0.14        2009.08.09        -
PCTools        4.4.2.0        2009.08.09        -
Prevx        3.0        2009.08.09        Medium Risk Malware
Rising        21.41.62.00        2009.08.09        -
Sophos        4.44.0        2009.08.09        Mal/GamePSW-C
Sunbelt        3.2.1858.2        2009.08.09        -
Symantec        1.4.4.12        2009.08.09        -
TheHacker        6.3.4.3.378        2009.08.08        -
TrendMicro        8.950.0.1094        2009.08.08        -
VBA32        3.12.10.9        2009.08.09        -
ViRobot        2009.8.8.1875        2009.08.08        -
VirusBuster        4.6.5.0        2009.08.09        TrojanSpy.Agent.NIWT
weitere Informationen
File size: 73729 bytes
MD5...: 4456aea8dfde1edfc05d7fa85780ba54
SHA1..: 190967915cb31dd2ec6256662a464c577a48411a
SHA256: 09f3073e334661f75e5e0ae0bf4afe0ee50448be29a983d69cd0a4321f1f9c63
ssdeep: 384:mXI2oVXstkGV7RGhVUxbCR4jV/AB9a6kH/W1xq3UZU9w1xq3UZU9kw:etkU7
LFW4pAB9EfUZU9qZU9/
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x224b
timedatestamp.....: 0x4853c0e8 (Sat Jun 14 13:00:24 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x176b 0x2000 5.02 dedc57697fa7b9189a307eb7d11812be
.rdata 0x3000 0x10ca 0x2000 3.42 86b5561120136059778b8cb23148df2e
.data 0x5000 0x4d4 0x1000 0.14 736e8bcc590ada821603a677ad2d0ab6
.rsrc 0x6000 0xbe0c 0xc000 4.37 ea973c4df23b679d7749055891235243

( 6 imports )
> WININET.dll: InternetCloseHandle, FtpPutFileA, InternetConnectA, InternetOpenA
> KERNEL32.dll: QueryPerformanceCounter, CreateThread, TerminateThread, Sleep, GetModuleHandleW, GetModuleFileNameA, GetSystemDirectoryA, CreateDirectoryA, CopyFileA, GetTickCount, TerminateProcess, IsDebuggerPresent, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, GetStartupInfoW, InterlockedCompareExchange, InterlockedExchange, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime
> USER32.dll: FindWindowA, GetAsyncKeyState, DefWindowProcW, KillTimer, EndPaint, BeginPaint, CreateWindowExW, RegisterClassExW, DispatchMessageW, TranslateMessage, GetMessageW, SetTimer, PostQuitMessage
> ADVAPI32.dll: RegQueryValueExA, RegCloseKey, RegSetValueExA, RegOpenKeyExA
> MSVCP80.dll: __$_HDU_$char_traits@D@std@@V_$allocator@D@1@@std@@YA_AV_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@0@PBDABV10@@Z, __$_HDU_$char_traits@D@std@@V_$allocator@D@1@@std@@YA_AV_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@0@ABV10@PBD@Z, __$_9DU_$char_traits@D@std@@V_$allocator@D@1@@std@@YA_NABV_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@0@PBD@Z, __4_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV01@ABV01@@Z, __0_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@XZ, __0_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@PBD@Z, __1_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@XZ, __4_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV01@PBD@Z
> MSVCR80.dll: __p__commode, __p__fmode, __set_app_type, _crt_debugger_hook, _except_handler4_common, __CxxFrameHandler3, _controlfp_s, _invoke_watson, __3@YAXPAX@Z, fopen, fputs, fclose, fputc, atoi, __2@YAPAXI@Z, _unlock, _encode_pointer, __dllonexit, _lock, _onexit, _decode_pointer, _amsg_exit, __wgetmainargs, _cexit, _exit, _XcptFilter, exit, _wcmdln, _initterm, _initterm_e, _configthreadlocale, __setusermatherr, _adjust_fdiv

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=4456aea8dfde1edfc05d7fa85780ba54' target='_blank'>http://www.threatexpert.com/report.aspx?md5=4456aea8dfde1edfc05d7fa85780ba54</a>
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=1931847E012D0F4320AB012DDDE82A003CC5645D' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=1931847E012D0F4320AB012DDDE82A003CC5645D</a>
ciao, andreas

raman 10.08.2009 12:03
Zitat:
Der erste Download erfolgte am 23.7. um 17:41 Uhr. Der letzte am 27.7. um 13:02 Uhr
Bedeutet, du verschickst die Links zu der Malware, nicht die Datei selber im Anhang?

john.doe 10.08.2009 15:56
@raman
Zitat:
Bedeutet, du verschickst die Links zu der Malware, nicht die Datei selber im Anhang?
So sind die Regeln im Uploadchannel, ich kann die Datei selbst gar nicht verschicken. Allerdings verschicke ich aufgrund technischer Gegebenheiten (Quota 3 MB) ab und zu die Dateien von meinem Spammailaccount. Das scheitert allerdings wiederum bei Einigen (z.B. Sophos) aufgrund deren Gegebenheiten. Scheinbar traut Sophos seinen eigenen Produkten nicht. :)

Auch wenn ich an anderen Stellen ständig am Kasperleverein herumlästere, ihre Reaktionszeit ist vorbildlich. Innerhalb von wenigen Stunden ist eine Reaktion da. Auch wenn einige Bearbeiter es dort nicht schaffen eine Datei herunterzuladen, aber das haben einige -wenige- Bearbeiter von Avira auch nicht geschafft. :)

Wenn wir schon dabei sind, die alte Emailadresse von F-Secure ist tot, trotz 15 minütiger Recherche habe ich keine neue gefunden. Hat jemand die aktuelle?

ciao, andreas

raman 10.08.2009 16:02
Bis gestern ging vsamples(at)f-secure.com noch............

john.doe 10.08.2009 16:13
@raman

Danke, hatte noch samples(at)f-secure.com drin, die ist mittlerweile tot.

ciao, andreas


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:30 Uhr.
Seite 4 von 4 « Erste 23 4
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129