Skype Virus. Aber was genau ist es?
 

Hallo,
gestern bekam ich von einer bekannten bei skype einen Link, ellenlang. Draufgeklickt, Firefox fragt ob ich die blabla.jpg.exe speichern will. .exe? Da war mir klar das was nicht stimmt. Auf Abbrechen geklickt.
Da die Dame von der der Link kommt gerade nicht online ist hab ich ihr per mail mitgeteilt dass sie da was hat, ihre Kontakte warnen sollte und wir schnellstens was tun müssen. Leider ist sie außer Landes und im Stress.

Was mich interessieren würde wäre also erst mal, was es denn war das mir ihr Skype da schicken wollte.
Der folgende Link ist es (dasgehtzueinemvirus) entfernen.
This is the link, probably not a good idea to click. If you want to, remove (dasgehtzueinemvirus).

hxxp://domenicspictu(dasgehtzueinemvirus)res.com/videos13.php?ref=facebook&w=abli&r(dasgehtzueinemvirus)esource=youtube&w=

Falls der Link noch aktiv ist wäre es prima wenn mir jemand sagen könnte was für ein Schädling das ist.

Danke fürs Lesen.

1. Sobald sie irgendwie Zeit findet geh ich die Logliste mit ihr durch
2. Kann mein Computer das Ding abbekommen haben obwohl ich auf abbrechen geklickt habe? (Der Firefox war leicht veraltet also wer weiß).

Viele Grüße
Florian

Der Link scheint nicht mehr zu funktionieren, vielleicht geht er bei jemand anderem oder in ein paar Stunden wieder. Könnte sein dass die Server jeweils nur kurz benutz werden.
Bin weiterhin für jegliche Hinweise dankbar.
Soll ich den Admin der Seite darauf hinweisen dass sein Server gehackt wurde?

Ich bekomm da nichts mehr. Also keine .jpg.exe
Wenn du die exe nicht ausgeführt hast sollte auch nichts passiert sein. Aber wenn du willst, machst du erstmal Scans mit Malwarebytes und ESET


Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Hallo, hier die Logs von meinem Rechner, hab ESET und dann Malwarebytes laufen lassen.
Sorry dass die option delete found bei ESET aktiv war. Hat aber eh nix gefunden.

Malwarebytes:

Sieht für mich sauber aus.

Viel interessanter werden die Logs von der Dame deren Rechner das Virus versendet, kann ich die einfach hier in dem Thread einstellen sobald ich die Logs habe? (Sie kann kein Deutsch und ist im Ausland, viel andere Möglichkeiten für Hilfe bleiben ihr also nicht)

Danke schon mal fürs Lesen und helfen.

Neuer Link möglicherweise wieder zu nem Virus:
(thisisavirus) entfernen
hxxp://(thisisavirus)goo.gl/YQfD6?=
Kann das jemand prüfen?

Ja kannst auch ausnahmsweise hier in diesen Strang posten.
Normalerweise machen wir pro Rechner einen separaten Strang, aber eigentlich geht es hier ja nicht wirklich um deinen Rechner :)

Kannst du bitte die Datei von dem Link speichern zur analyse? Ich bin zu feige :)
Falls noch nicht gemerkt, neuer Link unten in der vorherigen Nachricht. Vielleicht geht er noch.

Ja mach ich gerade. Virustotal werkelt gerade bei dieser Datei. Ich poste den Link wenn er durch ist und bei Threatexpert hau ich diese Datei auch mal gleich rein. Die Analyse dort dauert aber länger.

Virustotal hat zwei Funde:

Comodo Worm win 32 pushbot A

Super anti spyware trojan agent gen fake folder

Hast du vermutlich auch angezeigt bekommen?

Ich hab bei der Sache ein seltsames Gefühl. Wäre toll wenn wer die Datei speichern und unschädlich (gezippt oder sowas) speichern könnte.

P.S. das .vir nach .exe zeigt virustotal bei mir nicht an. Gleiche datei oder hängt das board die endung an

Ja. Du kannst bei VT die Datei über die Prüfsumme auch suchen lassen.
Einfach zB die md5 oder sha1 bei search eingeben und suchen lassen ^^

Ich hab sie ja als.vir und nicht als .exe abgespeichert. Bei Windows ist das so toll, das die Ausführbarkeit einer Datei (fast) allein von der Dateiendung abhängig ist :rofl:
Unter Linux und andere unixoiden müsste ich sie erstmal nach dem Download mit chmod +x ausführbar machen aber ich denke das weiß du sicherlich mit deinem Nick ;)


Edit: Hier ist die Analyse von Threatexpert => http://www.threatexpert.com/report.a...41e5c2c0647809

Na das nenn ich mal fette beute. Mal genau durchgehen was es gefunden hat.
Der Threatexpert analyse nach ist es ja relativ direkt in der funktion. Kommt halt darauf an was es alles nachlädt. Ich hoffe sie hat bald Zeit für die Logs. Einfach nicht moralisch ok so Zeug vom Rechner versenden zu lassen und nichts dagegen zu tun.
Die Liste mit den angeforderten Hostnamen ist interessant. Viele IT Foren. Wozu?

Ist dir noch was spezielles zu dem Trojaner aufgefallen?

Nö, hab keine Zeit den jetzt auszuweiden. Hab den nur bei VT und Threatexpert durchgejagt :D

Hab das Ding dank dem Markus (vom viren einsenden link) jetzt als .rar . Mal bei Gelegenheit unter AIX sezieren. "Leider" sind Viren nicht mein Fachgebiet, eher HPC.
Poste die Logs sobald sich die Dame mal dazu bequemt. :)

Sitzt du an einer AIX-Workstation? :wtf: :eek:

Momentan sitz ich an nem Windows PC, Skype hab ich noch nicht versucht unter AIX zum laufen zu bringen. Aber ganz in der nähe steckt einiges an Power-Kisten, sogar blades.

Ok :D

Hier sieh mal worüber ich eben gestolpert bin beim Studieren der unbeantworteten Themen => http://www.trojaner-board.de/117778-...-657066-a.html

;)

Ich hab die unbestimmte Vorahnung dass sich diese Threads häufen werden. Der Rechner meiner Bekannten zählt also zu den early adopters.
Nichts mehr von ihr gelesen, vll. ist der Rechner nicht mehr zu gebrauchen... ausser zum automatisch Spam versenden.
Ich melde mich wenn ich was neues lese.

Hallo, es gibt ein Problem. Malwarebytes hat bei ihr (winxp) nur limited hinter dem useraccount in den logs stehen. Und es gibt keinen Adminaccount aufzufinden.
Wie weiter vorgehen. Die nacht läuft jetzt trotzdem erst mal ein Fullscan, der wird Massen finden.
Bloß wie verhilft man in der Lage Malwarebytes eset und so weiter unter winxp zu vollen Rechten?
Normal würd ich ja sagen ich installier das alles frisch mit Win7 aber der Rechner ist über dem Ozean und das für ne Weile. Wäre für Tipps dankbar und liefere bald die Logs.

Was ist mit dem "Administrator" ?
Dieses vordefnierte Konto ist immer da, bei WIndowsXP im Willkommensbildschirm aber versteckt.
Im Willkommensbildschirm machst du am besten 2x den Affengriff, dann kannst du dich anmelden durch manuelle Eingabe von user+pass

Probier aus als user: administrator mit leerem Kennwort

Werden wir versuchen. Die Sache ist aber dass die Ausführen als Funktion im normalen account ein passwort für den admin wollte bei eintippen von Administrator. Vielleicht gehts ja im Loginscreen.
Oder klappt das mit ausführen als unter xp nicht? Jahre her dass ich was mit XP zu tun hatte.

Eine Idee:
Könnte es sein dass der admin bei einem schwedischen Windows anders als administrator (kleiner anfangsbuchstabe?) heißt? Mal suchen.
Hab einen Verweis bei Microsoft gefunden dass der Account in schwedisch anders heißt. Gibt nur wenige Windows versionen wo das der Fall ist. Es kann ja nicht einfach sein. Müsste ich nur noch wissen wie er dann heißt.
Administratör. Das könnte das Problem lösen, mal warten bis sie online ist und versuchen.

So, ich habe die Logs von ihr. Inklusive Fullscan mit Administratorrechten (Wieso das nun doch ging... weiß der Himmel allein)

Bitte entschuldige die Missverständnisse und vielen Logs, sie hats versucht und schließlich auch hingebracht mit dem Fullscan. War über die Sprachen hinweg nicht ganz einfach.

Zuerst hat sie mich falsch verstanden und einen schnellscan gemacht, das Programm war auf Schwedisch installiert. Ich hab ihr gesagt sie soll nichts entfernen weil das Log so nicht leicht zu verstehen ist.

Hier also ein Log in Schwedisch:

Ich hab ihr gesagt sie soll auf englisch umschalten, hat sie gemacht, zum Test ein schneller Flashscan:

Wieso da nicht nur Quarantined steht kann ich nicht sagen. Irgendwas lief schief. Also nochmal um zu sehen ob jetzt Adminrechte da sind, immer noch nicht.

Und schließlich der Fullscan mit Adminrechten. Da taucht allerdings einiges nicht mehr auf was der Flashscan erwischt hat.

Eset reiche ich nach sobald der arme Rechner das mal fertig bringt. Aber die Log sollten für ein erstes Bild der Lage reichen.
Ich hab sowas noch nie gesehen, so viele Viren auf einem Rechner.
Wie weiter?

Bereinigen werd ich diesen Rechner nicht mehr! :pfui:

Ja, die Dateien sind mir auch aufgefallen.
Aber ich denke nicht dass es ist wonach es aussieht. Sie hat gar keine Programme auf dem Rechner für die ein crack "nötig" wäre. Sicherlich, die Dateien sind da, aber sie nutzt den Rechner eigentlich nur für Skype und Internet. Vielleicht hat ihr ein "Freund" da mal was installiert.
Ich bezweifle dass sie überhaupt wüsste wie man sowas verwendet. Sie ist naiv, aber ich glaub nicht dass sie was kriminelles tut.
Wäre toll wenn du doch noch einen Blick auf die Logs werfen könntest.
Und die Dateinamen? Normal wär da doch ne Referenz für was es ist im Namen? Ich wills einfach nicht glauben, gibt keinen Sinn sowas auf dem Rechner.

Nee sry, bei sowas gibt es nur noch Hilfe zur Datensicherung und den Hinweis zur Neuinstallation

Nur interessehalber:
Wegen den cracks oder wegen der Menge an Viren?
Wäre sie im Land würd ich das für sie machen, aber momentan dürfte eine Neuinstallation noch auf Wochen hin nicht machbar sein. Mein Ziel war eigentlich, dass sie wieder im Internet unterwegs sein kann ohne überall persönliche Daten und Schadprogramme zu verteilen.
Der Viruslink den mir ihr Rechner geschickt hat wurde von SuperAnti Spyware erkannt. Prinzipiell sollte sich damit also der spezielle Plagegeist entfernen lassen, richtig?
Ich kann deine Position verstehen, kann ja jeder sagen dass es "jemand" war der das Zeug installiert hat und es sind Massen an Viren. Ich hab die Einträge in den Logs gelassen, im gegensatz zu manch anderem user wie ich annehme. Eben weil ich da keine Schuld sehe. Aber wie gesagt, kann verstehen dass du nicht so viel Zeit opfern willst.

=> http://www.trojaner-board.de/95393-c...-software.html