Skype Virus. Aber was genau ist es? Hallo, gestern bekam ich von einer bekannten bei skype einen Link, ellenlang. Draufgeklickt, Firefox fragt ob ich die blabla.jpg.exe speichern will. .exe? Da war mir klar das was nicht stimmt. Auf Abbrechen geklickt. Da die Dame von der der Link kommt gerade nicht online ist hab ich ihr per mail mitgeteilt dass sie da was hat, ihre Kontakte warnen sollte und wir schnellstens was tun müssen. Leider ist sie außer Landes und im Stress. Was mich interessieren würde wäre also erst mal, was es denn war das mir ihr Skype da schicken wollte. Der folgende Link ist es (dasgehtzueinemvirus) entfernen. This is the link, probably not a good idea to click. If you want to, remove (dasgehtzueinemvirus). hxxp://domenicspictu(dasgehtzueinemvirus)res.com/videos13.php?ref=facebook&w=abli&r(dasgehtzueinemvirus)esource=youtube&w= Falls der Link noch aktiv ist wäre es prima wenn mir jemand sagen könnte was für ein Schädling das ist. Danke fürs Lesen. 1. Sobald sie irgendwie Zeit findet geh ich die Logliste mit ihr durch 2. Kann mein Computer das Ding abbekommen haben obwohl ich auf abbrechen geklickt habe? (Der Firefox war leicht veraltet also wer weiß). Viele Grüße Florian Der Link scheint nicht mehr zu funktionieren, vielleicht geht er bei jemand anderem oder in ein paar Stunden wieder. Könnte sein dass die Server jeweils nur kurz benutz werden. Bin weiterhin für jegliche Hinweise dankbar. Soll ich den Admin der Seite darauf hinweisen dass sein Server gehackt wurde? |
Ich bekomm da nichts mehr. Also keine .jpg.exe Wenn du die exe nicht ausgeführt hast sollte auch nichts passiert sein. Aber wenn du willst, machst du erstmal Scans mit Malwarebytes und ESET Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen! Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! ESET Online Scanner
Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code: hier steht das Log |
Hallo, hier die Logs von meinem Rechner, hab ESET und dann Malwarebytes laufen lassen. Sorry dass die option delete found bei ESET aktiv war. Hat aber eh nix gefunden. Malwarebytes: Code: Malwarebytes Anti-Malware (Trial) 1.61.0.1400 Code: ESETSmartInstaller@High as downloader log: Viel interessanter werden die Logs von der Dame deren Rechner das Virus versendet, kann ich die einfach hier in dem Thread einstellen sobald ich die Logs habe? (Sie kann kein Deutsch und ist im Ausland, viel andere Möglichkeiten für Hilfe bleiben ihr also nicht) Danke schon mal fürs Lesen und helfen. Neuer Link möglicherweise wieder zu nem Virus: (thisisavirus) entfernen hxxp://(thisisavirus)goo.gl/YQfD6?= Kann das jemand prüfen? |
Ja kannst auch ausnahmsweise hier in diesen Strang posten. Normalerweise machen wir pro Rechner einen separaten Strang, aber eigentlich geht es hier ja nicht wirklich um deinen Rechner :) |
Kannst du bitte die Datei von dem Link speichern zur analyse? Ich bin zu feige :) Falls noch nicht gemerkt, neuer Link unten in der vorherigen Nachricht. Vielleicht geht er noch. |
Ja mach ich gerade. Virustotal werkelt gerade bei dieser Datei. Ich poste den Link wenn er durch ist und bei Threatexpert hau ich diese Datei auch mal gleich rein. Die Analyse dort dauert aber länger. Code: SHA256: 40ab1c6e402b1af4897dfc9757b75adf149e8d71e03749834a0778758ea122a1 |
Virustotal hat zwei Funde: Comodo Worm win 32 pushbot A Super anti spyware trojan agent gen fake folder Hast du vermutlich auch angezeigt bekommen? Ich hab bei der Sache ein seltsames Gefühl. Wäre toll wenn wer die Datei speichern und unschädlich (gezippt oder sowas) speichern könnte. P.S. das .vir nach .exe zeigt virustotal bei mir nicht an. Gleiche datei oder hängt das board die endung an |
Ja. Du kannst bei VT die Datei über die Prüfsumme auch suchen lassen. Einfach zB die md5 oder sha1 bei search eingeben und suchen lassen ^^ Zitat:
Unter Linux und andere unixoiden müsste ich sie erstmal nach dem Download mit chmod +x ausführbar machen aber ich denke das weiß du sicherlich mit deinem Nick ;) Edit: Hier ist die Analyse von Threatexpert => http://www.threatexpert.com/report.a...41e5c2c0647809 |
Na das nenn ich mal fette beute. Mal genau durchgehen was es gefunden hat. Der Threatexpert analyse nach ist es ja relativ direkt in der funktion. Kommt halt darauf an was es alles nachlädt. Ich hoffe sie hat bald Zeit für die Logs. Einfach nicht moralisch ok so Zeug vom Rechner versenden zu lassen und nichts dagegen zu tun. Die Liste mit den angeforderten Hostnamen ist interessant. Viele IT Foren. Wozu? Ist dir noch was spezielles zu dem Trojaner aufgefallen? |
Nö, hab keine Zeit den jetzt auszuweiden. Hab den nur bei VT und Threatexpert durchgejagt :D |
Hab das Ding dank dem Markus (vom viren einsenden link) jetzt als .rar . Mal bei Gelegenheit unter AIX sezieren. "Leider" sind Viren nicht mein Fachgebiet, eher HPC. Poste die Logs sobald sich die Dame mal dazu bequemt. :) |
Zitat:
|
Momentan sitz ich an nem Windows PC, Skype hab ich noch nicht versucht unter AIX zum laufen zu bringen. Aber ganz in der nähe steckt einiges an Power-Kisten, sogar blades. |
Ok :D Hier sieh mal worüber ich eben gestolpert bin beim Studieren der unbeantworteten Themen => http://www.trojaner-board.de/117778-...-657066-a.html ;) |
Ich hab die unbestimmte Vorahnung dass sich diese Threads häufen werden. Der Rechner meiner Bekannten zählt also zu den early adopters. Nichts mehr von ihr gelesen, vll. ist der Rechner nicht mehr zu gebrauchen... ausser zum automatisch Spam versenden. Ich melde mich wenn ich was neues lese. |
Alle Zeitangaben in WEZ +1. Es ist jetzt 21:53 Uhr. |
Copyright ©2000-2024, Trojaner-Board