|
Trojaner/Viren etc -- W32/Autorun-H + anderes Zeugs Hallo Leute, eine Freundin von mir hat folgendes Problem: Während der PC-Sitzung werden zufällig (aber selten) Pup-Ups geöffnet. Außerdem wurden schon folgende schädliche Programme (Dropper/Dailer) gefunden: -Dial/144856.a.2 (C/Dokumente und Einstellungen/***/Lokale Einstellungen/Temp/icd3.tmp/laLdr32.exe -TR/Dropper.gen (C:/system volume information/_restore{6c850338-ad3a-466e-be53-0044121e4b04}/rp71/a0028020.exe -TR/Dropper.gen (C:/system volume information/_restore{6c850338-ad3a-466e-be53-0044121e4b04}/rp71/a27058.exe -TR/Dropper.gen (C:/system volume information/_restore{6c850338-ad3a-466e-be53-0044121e4b04}/rp68/a0025458.exe Diese wurden von Anti-Vir unter Quarantäne gesetzt... Hier das Hijack-Log: Code: Logfile of Trend Micro HijackThis v2.0.2Code: C:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\ccgcu.exeBei der Knight.exe hab ich folgendes gefunden: http://www.sophos.com/security/analy...2autorunh.html ------------------Fund von VirusTotal----------------------- Datei ccgcu.exe empfangen 2008.06.24 23:47:40 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 2/33 (6.07%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 3. Geschätzte Startzeit is zwischen 46 und 66 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.6.24.0 2008.06.24 - AntiVir 7.8.0.59 2008.06.24 - Authentium 5.1.0.4 2008.06.24 - Avast 4.8.1195.0 2008.06.24 - AVG 7.5.0.516 2008.06.24 - BitDefender 7.2 2008.06.24 - CAT-QuickHeal 9.50 2008.06.23 - ClamAV 0.93.1 2008.06.24 - DrWeb 4.44.0.09170 2008.06.24 - eSafe 7.0.17.0 2008.06.24 - eTrust-Vet 31.6.5900 2008.06.24 - Ewido 4.0 2008.06.24 - F-Prot 4.4.4.56 2008.06.24 - F-Secure 7.60.13501.0 2008.06.24 - Fortinet 3.14.0.0 2008.06.24 - GData 2.0.7306.1023 2008.06.24 - Ikarus T3.1.1.26.0 2008.06.24 Trojan.Win32.Skintrim.B Kaspersky 7.0.0.125 2008.06.24 - McAfee 5324 2008.06.24 - Microsoft 1.3604 2008.06.24 Trojan:Win32/Skintrim.B NOD32v2 3215 2008.06.24 - Norman 5.80.02 2008.06.24 - Panda 9.0.0.4 2008.06.24 - Prevx1 V2 2008.06.24 - Rising 20.50.10.00 2008.06.24 - Sophos 4.30.0 2008.06.24 - Sunbelt 3.0.1153.1 2008.06.15 - Symantec 10 2008.06.24 - TheHacker 6.2.92.360 2008.06.24 - TrendMicro 8.700.0.1004 2008.06.24 - VBA32 3.12.6.8 2008.06.23 - VirusBuster 4.5.11.0 2008.06.23 - Webwasher-Gateway 6.6.2 2008.06.24 - weitere Informationen File size: 360448 bytes MD5...: 2da5927c966a3ca76c23a3a9c0cb5df7 SHA1..: 39b92fea680718ce15935f48307d129b62e60c77 SHA256: c28eeee4a5400b9fa042f1cab2be99405df3325a4b3ed256faa62fdf4b2c0180 SHA512: 5ca415fdda6a906d174c0ebd5d189939cf6330d8c2c98c01691daec56af0a965 348152ed5f629ed25967658490dc092d18a76c8d7c39ffe2f2e129d0ffae199f PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x40126e timedatestamp.....: 0x410b2ed9 (Sat Jul 31 05:32:09 2004) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x529bb 0x53000 6.99 7f94cc8f26d96309479307a5381df947 .rdata 0x54000 0xed0 0x1000 5.16 b5a148d2667a2e97e724ea8c15e5a239 .data 0x55000 0x245c 0x3000 3.44 a649b81d7f8f43442852b51bff104168 ( 11 imports ) > KERNEL32.dll: GetCommState, GetThreadContext, lstrcmpiA, IsDBCSLeadByteEx, GetDiskFreeSpaceW, EnumCalendarInfoW, VirtualQuery, FlushFileBuffers, ExpandEnvironmentStringsW, AreFileApisANSI, GlobalReAlloc, VirtualProtect, ExitProcess, GetVersionExA, GetCommandLineA, MultiByteToWideChar, ExitThread, MoveFileExA, LocalFileTimeToFileTime, GetTapeStatus, SetCommMask, GetPrivateProfileSectionW, ReadFileScatter, ReadConsoleA, CreateDirectoryExA, SetProcessShutdownParameters, FindResourceExA, GetAtomNameA, LoadLibraryExW, CreateWaitableTimerA, GlobalGetAtomNameW, _lopen, GetDateFormatA > USER32.dll: EmptyClipboard, SendMessageW, DrawTextExW, GetWindow, CharNextExA, ShowWindowAsync, ClientToScreen, MonitorFromRect, GetWindowRect, LoadBitmapW, TileWindows, AdjustWindowRect, SetScrollRange, CharUpperBuffW, CopyAcceleratorTableA, CascadeWindows, CloseClipboard, DestroyCursor > GDI32.dll: GetRgnBox, GetTextColor, FillRgn, CreateDIBPatternBrush, SetGraphicsMode, CreatePalette, MaskBlt, CreateEllipticRgn, SwapBuffers, StrokePath, EnumEnhMetaFile, RemoveFontResourceW, GetOutlineTextMetricsA, Ellipse, OffsetClipRgn, DescribePixelFormat, GetStretchBltMode > comdlg32.dll: ChooseColorW, ReplaceTextA, PrintDlgW, ChooseColorA > ADVAPI32.dll: DestroyPrivateObjectSecurity, CryptSignHashW, IsValidAcl, RegOpenKeyExA, InitializeSid, GetExplicitEntriesFromAclW, GetLengthSid, AbortSystemShutdownW, RegEnumValueA, RegisterServiceCtrlHandlerA, ChangeServiceConfigW, SetSecurityDescriptorGroup, RegQueryInfoKeyA, CryptAcquireContextA, RegSetValueExW, LookupPrivilegeValueW, NotifyBootConfigStatus, RegCreateKeyExW, LookupPrivilegeDisplayNameA, CryptReleaseContext, RegDeleteKeyA, EqualSid, LookupAccountSidA, CloseEventLog, AccessCheckAndAuditAlarmW, CryptDestroyHash, RegReplaceKeyW, RegEnumValueW, CopySid, GetAclInformation, MakeAbsoluteSD, RegQueryInfoKeyW > SHELL32.dll: FindExecutableW, SHAddToRecentDocs > ole32.dll: CoReleaseServerProcess, CoTaskMemRealloc, CoFreeAllLibraries, ReadFmtUserTypeStg > OLEAUT32.dll: -, -, -, - > COMCTL32.dll: CreateToolbarEx, ImageList_Remove, ImageList_ReplaceIcon, ImageList_GetIconSize > SHLWAPI.dll: PathRemoveFileSpecW, StrCpyW, StrFormatByteSizeA, SHRegGetUSValueW, PathStripToRootW, PathCommonPrefixW > SETUPAPI.dll: SetupDiClassGuidsFromNameW, SetupDiEnumDeviceInfo ( 0 exports ) ----------------------------------------------------------------------- Ich hoffe, dass ihr mir weiterhelfen könnt... Gruß Handball10 |
Hallo mach zuerst bitte alle versteckten Dateien und Ordner sichtbar. Lade diese Datei Zitat:
Deaktiviere bitte vorübergehend den Hintergrundwächter (Guard) deines Antivirenprogramms. Dann lade dir bitte Navilog1 von IL-MAFIOSO herunter.
Hinweis: Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Das ist ein Fehlalarm und kann ignoriert werden. Lade dir auch Malwarebytes und lass alles löschen was gefunden wird, poste anschließend die Logs. MFG |
Hallo Nochdigger, das mit dem Versteckte Dateien und Ordner sichbar machen hatten wir auch schon gemacht. Jedoch waren die besagten Dateien immer noch nicht zu sehen, und wenn man den Pfad der Datei bei VirusTotal eingab kam immer "0 bytes size received / Se ha recibido un archivo vacio" :headbang: Navi-Log und MalwareBytes-Log häng ich noch an den Post dran. Gruß Handball10 |
So, da bin ich wieder (hat ein Bisschen gedauert...) Hier ist schonmal das Navi-Log: Code: Search Navipromo version 3.5.9 began on 26.06.2008 at 11:03:18,17Gruß Handball10 |
|
Hallo deaktiviere bitte die Systemwiederherstellung navilog bitte erneut laufen lassen diesesmal aber bitte die Option 2 wählen (bereinigen).
Starte bitte auch Malwarebytes erneut und lass alles gefundene löschen:rolleyes: Anschließend führe ein Update deines Antivir aus und starte in den abgesicherten Modus (beim start F8 drücken) dort bitte einen Fullscan durchführen und im normalen Modus dann hinterher das Logfile posten. Schauen wir mal was übrigbleibt... MFG |
So, hier ist das Navifix-Log: Code: Navipromo Removal version 3.5.9 started on 26.06.2008 at 22:32:30,32Gruß Handball10 |
So, Leute, ist zwar ein Bissi spät, aber egal... bei dem 2. Durchgang wurde komischerweise NICHTS mehr gefunden (obwohl beim 1. Durchgang nichts gelöscht wurde...) Code: Malwarebytes' Anti-Malware 1.18Flo |
Moin Zitat:
Navilog hat seinen Job gemacht wie es aussieht fehlt noch die Antivirprozedur, dann sehen wir weiter. MFG |
Hallo Nochdigger, Ich weis jetzt, warum MalwareBytes nichts mehr gefunden hat: Der Ordner, indem sich die schädlichen Objekte befanden hieß "Instant Access". Wenn wir jetzt einen Blick in das 2. Navilog werfen steht dort irgendwann: Code: C:\Programme\Instant Access ...deleting...Was mich außerdem noch wundert ist, dass Avira Labs bis jetzt schon knappe 24h gebraucht hat um die gesendete Datei zu analysieren... Das Log von AntiVir folgt noch. Gruß Handball10 |
Hallo Zitat:
Zitat:
Zitat:
MFG |
SO, hier ist das AntiVir-Log: Code: Und hier nochmal ein Hijack-Log: Code: Logfile of Trend Micro HijackThis v2.0.2Handball10 |
Hallo lass bitte diese Datei C:\WINDOWS\Knight.exe hier Virustotal, hier virscan.org oder hier Jotti überprüfen (kann einige Minuten dauern), poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, bitte auch wenn nichts gefunden wurde. Erstelle eine Übersicht mit der Filelist Filelist 1. Lade das filelist.zip auf deinen Desktop herunter. 2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei 3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen 4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein. Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen: Verzeichnis von C:\ Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\Prefetch (Windows XP) Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\WINDOWS\Temp Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp Außerdem bitte hier einen Onlinescan durchführen und das Ergebnis posten Free Virus Scan - Kaspersky Lab MFG |
So, da bin ich wieder... hat ne Zeit lang gedauert, war kruz für 2 Wochen im Urlaub :D Hier ist die Filelist: Filelist und zu der Knight.exe, im Windows-Verzeichnis: Diese Datei scheint entweder nicht da zu sein oder sie wird gut versteckt, denn bei Virustotal kommt immer, dass eine 0 Bytes-Batei geschickt wurde... Gruß Handball10 |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:17 Uhr. |
Copyright ©2000-2025, Trojaner-Board