Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Vermutlich Keylogger durch Sch...tool eingefangen (https://www.trojaner-board.de/116244-vermutlich-keylogger-sch-tool-eingefangen.html)

NoMoreHorses 01.06.2012 23:32
Vermutlich Keylogger durch Sch...tool eingefangen
 
Hallo zusammen,
ich hatte vor ein paar Wochen einen Freund am PC surfen lassen und er wollt unbedingt „Xblathief“ habe um irgendwie Spiele mit dem Rechen anstatt der Xbox zuladen. Die ersten 3.Downloads waren mit Trojanern verseucht und wurden von Norton gleich beseitigt. Der 4. Download schien in Ordnung zu sein. Wobei ich hätte mal besser wenig Xbox gezogt wären er im Netz unterwegs war dann wäre mit sicherlich aufgefallen das ein Tool das XBOX Live Dieb heißt Ärger machen könnte.

Aber zu spät. Nach dem starten des Tool und der Aufforderung seine XLA Daten einzugeben unterband ich alles und dacht einfach an einen Keylogger der nur mein XBL Passwort haben möchte.

Da ich mich mit dem erkennen von Trojaner im System überhaupt nicht auskenne macht ich ihm den Vorschlag das Tool zu analysieren wie wir es in einem Video von hxxp://www.evild3ad.com mit dem GEMA –Trojaner gezeigt wird (hxxp://www.youtube.com/watch?v=9pJCJ-0Wqo8).

Nach vielen, vielen Einstellungen lief Sandboxi mit dem Analyse Tool und sagte mit zu „xblathief 1.0.2.1.exe“ das wohl die Keyloger Funktion bei diesem Tool aktiv sei. Aber als ob das nicht schon schlimm genug wäre hat es auch noch eine versteckte Dateien erzeugt (C:\Windows\SbiePst.dat), Einträge verändern und in der Registry rum gefuscht.

Wer kann mir genaueres sagen ?
Wer hat die Lust oder Laune das Tool zu analysieren und auch dann zusagen was die ganzen geänderten Register Einträge bewirken sollen. Vor allem: WAS MACHT SbiePst.dat ?

Tool ist noch im gesicherten Ordner und kann zugesandt werden

Hier ein kleiner Auszug aus der Log Dateien:
Zitat:
* Creates file (hidden) C:\Windows\SbiePst.dat
* Modifies file C:\Windows\system32\CatRoot2\dberr.txt
* Modifies file C:\Windows\system32\CatRoot2\edb.chk
* Creates file C:\Windows\system32\CatRoot2\edb00145.log
* Creates file C:\Windows\system32\CatRoot2\edb00146.log
* Creates file C:\Windows\system32\CatRoot2\edb00147.log
* Creates file C:\Windows\system32\CatRoot2\edb00148.log
* Creates file C:\Windows\system32\CatRoot2\edb00149.log
* Creates file C:\Windows\system32\CatRoot2\edb0014A.log
* Creates file C:\Windows\system32\CatRoot2\edb0014B.log
* Creates file C:\Windows\system32\CatRoot2\edb0014C.log
* Creates file C:\Windows\system32\CatRoot2\edb0014D.log
* Creates file C:\Windows\system32\CatRoot2\edb0014E.log
* Creates file C:\Windows\system32\CatRoot2\edb0014F.log
* Creates file C:\Windows\system32\CatRoot2\edb00150.log
* Creates file C:\Windows\system32\CatRoot2\edb00151.log
* Creates file C:\Windows\system32\CatRoot2\edb00152.log
* Creates file C:\Windows\system32\CatRoot2\edb00153.log
* Creates file C:\Windows\system32\CatRoot2\edb00154.log
* Creates file C:\Windows\system32\CatRoot2\edb00155.log
* Creates file C:\Windows\system32\CatRoot2\edb00156.log
* Creates file C:\Windows\system32\CatRoot2\edb00157.log
* Creates file C:\Windows\system32\CatRoot2\edb00158.log
* Creates file C:\Windows\system32\CatRoot2\edb00159.log
* Creates file C:\Windows\system32\CatRoot2\edb0015A.log
* Deletes file C:\Windows\system32\CatRoot2\edb003CA.log
* Creates file C:\ProgramData\Microsoft\Windows\WER\ReportArchive\AppCrash_csc.exe_39f76c3d665eb2249263cdfa3be46b33353336_1108a321\Report.wer
* Creates file C:\ProgramData\Microsoft\Windows\WER\ReportArchive\AppCrash_csc.exe_39f76c3d665eb2249263cdfa3be46b33353336_1635e34d\Report.wer
* Creates file C:\ProgramData\Microsoft\Windows\WER\ReportArchive\AppCrash_firefox.exe_b01a5129d758695d3f9bd1768c8f66aab4cb99_1057aa90\Report.

* Modifies value "Type=03000000" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0347C33E-8762-4905-BF09-768834316C61}\iexplore
old value empty
* Modifies value "Count=140D0000" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0347C33E-8762-4905-BF09-768834316C61}\iexplore
old value empty
* Modifies value "Time=DC0705000000060012000E000300D302" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0347C33E-8762-4905-BF09-768834316C61}\iexplore
old value empty
* Modifies value "Type=03000000" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}\iexplore
old value empty
* Modifies value "Count=FB060000" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}\iexplore
old value empty
* Modifies value "Time=DC0705000000060012000E0004003C01" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}\iexplore
old value empty
* Modifies value "Blocked=D6060000" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}\iexplore
old value empty
* Modifies value "Type=03000000" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}\iexplore
old value empty
* Modifies value "Count=67070000" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}\iexplore
old value empty
* Modifies value "Time=DC0705000000060012000E0004004B01" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}\iexplore
old value empty
* Modifies value "AutoDetect=01000000" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
old value empty


[ Network services ]
* No changes

[ Process/window/string information ]
* Keylogger functionality.
* Enables process privileges.
* Creates an event named "Global\CorDBIPCSetupSyncEvent_8136".
* Creates process "(null),C:\Windows\Microsoft.NET\Framework\v2.0.50727\csc.exe,(null)".
* Injects code into process "c:\windows\microsoft.net\framework\v2.0.50727\csc.exe".
* Creates process "C:\Program Files\Mozilla Firefox\firefox.exe,,(null)".
* Injects code into process "c:\program files\mozilla firefox\firefox.exe".
* Creates process "C:\Windows\system32\WerFault.exe,C:\Windows\system32\WerFault.exe -u -p 2936 -s 64,C:\Windows\system32".
* Enumerates running processes.
* Creates a mutex "Local\WERReportingForProcess2936".
* Creates a mutex "Global\64bc7d62-97a7-11e1-b567-001dba1d9148".
* Creates a mutex "Local\WERReportingForProcess3960".
* Creates a mutex "Global\66a93a3b-97a7-11e1-b567-001dba1d9148".
* Terminates process "c:\windows\microsoft.net\framework\v2.0.50727\csc.exe".

cosinus 03.06.2012 15:03
Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
hier steht das Log


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:47 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129