Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   viren automatisch nach neustart gelöscht? (https://www.trojaner-board.de/73329-viren-automatisch-neustart-geloescht.html)

virenhaber 20.05.2009 17:54
viren automatisch nach neustart gelöscht?
 
halloooo.

also folgendes ist geschehen:
ich hab was runtergeladen, dann hat antivir nach dem entpacken festgestellt, dass es 3 viren hat. also es kamen 3 solcher fenster (mit quarantäne, löschen....) aber dann konnte ich nichts mehr machen. dann hab ich den pc mim knopf aus gemacht und wieder an. dann waren auf einmal nirgendwo mehr viren, wie vom erdboden verschluckt!
wurden die jetzt automatisch gelösch kann das sein?
oder sind die irgendwo versteckt jetzt und treiben ihr unwesen?

vielen dank schonmal! =)


*edit: beim suchlauf grade wurden woanders viren gefunden, vorher waen da keine, hilfe!!!

*er name von dem danach gefundenen war: TR/Click.VB.QJ.10

john.doe 20.05.2009 18:03
Hallo und :hallo:
Zitat:
ich hab was runtergeladen
Hast du noch den Link? Dann schicke ihn mir bitte als PN zu.

Klicke auf "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab.

ciao, andreas

p.s.: Ziemlich eindeutiges Ergebnis, falls du einen Steamaccount hast, ändere sofort von einem sauberen Rechner dein Kennwort, am Besten alle Kennwörter.
Code:
Datei Counter-Strike_Source_Hack.exe empfangen 2009.05.20 19:15:04 (CET)
Status:    Beendet
Ergebnis: 39/40 (97.5%)
 Filter
Drucken der Ergebnisse  Antivirus        Version        letzte aktualisierung        Ergebnis
a-squared        4.0.0.101        2009.05.20        Trojan-Dropper.Win32.VB.sj!IK
AhnLab-V3        5.0.0.2        2009.05.20        Dropper/Xema.1692048
AntiVir        7.9.0.168        2009.05.20        TR/PSW.Steam.R
Antiy-AVL        2.0.3.1        2009.05.20        -
Authentium        5.1.2.4        2009.05.19        W32/VB-EMU:VB-Backdoor-PEK-based!Maximus
Avast        4.8.1335.0        2009.05.19        Win32:Trojan-gen {Other}
AVG        8.5.0.336        2009.05.20        Dropper.Generic_c.AGE
BitDefender        7.2        2009.05.20        Trojan.Generic.1706719
CAT-QuickHeal        10.00        2009.05.20        TrojanDropper.VB.afv
ClamAV        0.94.1        2009.05.20        Trojan.Spy-2494
Comodo        1157        2009.05.08        TrojWare.Win32.Spy.Meats.~A
DrWeb        5.0.0.12182        2009.05.20        BACKDOOR.Trojan
eSafe        7.0.17.0        2009.05.19        Win32.VB.asf
eTrust-Vet        31.6.6513        2009.05.20        Win32/AMalum.V
F-Prot        4.4.4.56        2009.05.19        W32/VB-EMU:VB-Backdoor-PEK-based!Maximus
F-Secure        8.0.14470.0        2009.05.20        Trojan-Dropper.Win32.VB.afv
Fortinet        3.117.0.0        2009.05.20        W32/VB.HF!tr
GData        19        2009.05.20        Trojan.Generic.1706719
Ikarus        T3.1.1.49.0        2009.05.20        Trojan-Dropper.Win32.VB.sj
K7AntiVirus        7.10.739        2009.05.19        Trojan-Dropper.Win32.VB
Kaspersky        7.0.0.125        2009.05.20        Trojan-Dropper.Win32.VB.afv
McAfee        5621        2009.05.20        PWS-Steam
McAfee+Artemis        5621        2009.05.20        PWS-Steam
McAfee-GW-Edition        6.7.6        2009.05.20        Trojan.Click.VB.QJ.10
Microsoft        1.4602        2009.05.20        TrojanDropper:Win32/VB.BA
NOD32        4091        2009.05.20        probably unknown NewHeur_PE
Norman        6.01.05        2009.05.20        W32/VBTroj.HWU
nProtect        2009.1.8.0        2009.05.20        Trojan-Dropper/W32.Agent.1692048
Panda        10.0.0.14        2009.05.19        Trj/Downloader.TOI
PCTools        4.4.2.0        2009.05.20        Trojan.DR.VB.DYNA
Prevx        3.0        2009.05.20        Medium Risk Malware Dropper
Rising        21.30.20.00        2009.05.20        Dropper.Win32.Agent.ymm
Sophos        4.41.0        2009.05.20        Mal/Generic-A
Sunbelt        3.2.1858.2        2009.05.19        Backdoor.Win32.VB.PEK!cobra (v)
Symantec        1.4.4.12        2009.05.20        Trojan.Dropper
TheHacker        6.3.4.1.328        2009.05.20        Trojan/Dropper.VB.afv
TrendMicro        8.950.0.1092        2009.05.20        TROJ_VB.FPU
VBA32        3.12.10.5        2009.05.20        Trojan-PSW.Win32.Delf.bwo
ViRobot        2009.5.20.1743        2009.05.20        Trojan.Win32.VB.1692048.B
VirusBuster        4.6.5.0        2009.05.20        Trojan.DR.VB.DYNA
weitere Informationen
File size: 1692048 bytes
MD5...: 861bc8d9dc2bbe2b2364cdd042223267
SHA1..: 1693e33c651b1cc2aa40e1bed5de2cb111ef5366
SHA256: ea46c0f6565a7006056752128971c6b78bee45971902ae5680147b5f06048146
SHA512: 91c38e11137e70e0bfcc9759c86209d9c7393e1c6ed534457e08830ce4d1433c
fc0605963ef09894b1fcadfff80a687547af5c324b5b495e1f2deec45b1c6f56
ssdeep: 49152:JKG5nUjOFZYeiLxPQ6u4sOEvazaoGleWKK:D5nUEZmLhQ6zsBneA
PEiD..: -
TrID..: File type identification
Win32 Executable Microsoft Visual Basic 6 (62.1%)
Win32 Executable MS Visual C++ (generic) (18.5%)
Win32 EXE Yoda's Crypter (13.0%)
Win32 Executable Generic (4.2%)
Generic Win/DOS Executable (0.9%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1b68
timedatestamp.....: 0x46f2f25e (Thu Sep 20 22:21:18 2007)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x177bc 0x18000 5.83 3577eb05deda9902146f8fa30fb6f699
.data 0x19000 0xff0 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x1a000 0x182eb4 0x183000 7.56 d5012be63f6edc99e45aeb55b0c9ffb8

( 1 imports )
> MSVBVM60.DLL: EVENT_SINK_GetIDsOfNames, _CIcos, _adj_fptan, __vbaVarMove, __vbaStrI4, __vbaFreeVar, __vbaAryMove, __vbaLenBstr, __vbaStrVarMove, __vbaFreeVarList, __vbaEnd, _adj_fdiv_m64, EVENT_SINK_Invoke, __vbaRaiseEvent, -, __vbaFreeObjList, -, __vbaGetFxStr4, -, _adj_fprem1, -, __vbaRecAnsiToUni, -, __vbaI2Abs, __vbaCopyBytes, __vbaStrCat, -, __vbaLsetFixstr, __vbaSetSystemError, __vbaRecDestruct, __vbaHresultCheckObj, __vbaVargVarCopy, _adj_fdiv_m32, __vbaAryVar, -, Zombie_GetTypeInfo, __vbaAryDestruct, __vbaLateMemSt, __vbaExitProc, __vbaVarForInit, __vbaStrLike, __vbaOnError, __vbaObjSet, -, _adj_fdiv_m16i, __vbaObjSetAddref, _adj_fdivr_m16i, -, __vbaStrFixstr, __vbaBoolVarNull, _CIsin, -, __vbaErase, -, -, __vbaVargVarMove, -, __vbaChkstk, -, __vbaFileClose, EVENT_SINK_AddRef, -, -, __vbaGenerateBoundsError, __vbaStrCmp, -, __vbaAryConstruct2, __vbaVarTstEq, __vbaPutOwner3, __vbaI2I4, __vbaObjVar, DllFunctionCall, __vbaRedimPreserve, _adj_fpatan, __vbaFixstrConstruct, Zombie_GetTypeInfoCount, __vbaRedim, __vbaRecUniToAnsi, EVENT_SINK_Release, __vbaNew, -, _CIsqrt, EVENT_SINK_QueryInterface, __vbaStrUI1, __vbaExceptHandler, -, -, __vbaStrToUnicode, __vbaInputFile, __vbaPrintFile, _adj_fprem, _adj_fdivr_m64, -, -, -, __vbaFPException, __vbaInStrVar, -, __vbaStrVarVal, __vbaVarCat, -, __vbaLsetFixstrFree, __vbaI2Var, -, -, -, _CIlog, __vbaErrorOverflow, __vbaFileOpen, __vbaInStr, -, __vbaVar2Vec, __vbaNew2, -, __vbaVarLateMemCallLdRf, -, _adj_fdiv_m32i, _adj_fdivr_m32i, -, __vbaStrCopy, -, __vbaFreeStrList, __vbaVarNot, _adj_fdivr_m32, _adj_fdiv_r, -, -, -, __vbaVarTstNe, __vbaVarSetVar, __vbaI4Var, __vbaVarCmpEq, __vbaAryLock, __vbaLateMemCall, -, __vbaStrToAnsi, __vbaVarDup, -, __vbaFpI4, -, __vbaVarCopy, __vbaVarLateMemCallLd, __vbaRecDestructAnsi, __vbaLateMemCallLd, __vbaVarSetObjAddref, _CIatan, __vbaStrMove, __vbaAryCopy, __vbaCastObj, __vbaStrVarCopy, -, __vbaPutFxStr4, _allmul, _CItan, __vbaAryUnlock, __vbaVarForNext, _CIexp, __vbaFreeStr, __vbaFreeObj, -, -

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=861bc8d9dc2bbe2b2364cdd042223267' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=861bc8d9dc2bbe2b2364cdd042223267</a>
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=D019EF8B90D4A11DD1F9190A392ECD005C1CB1E6' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=D019EF8B90D4A11DD1F9190A392ECD005C1CB1E6</a>

virenhaber 20.05.2009 18:20
und wenn ich mit antivir nichts mehr finde, kann ich dann auch von hier ändern? habe nur einen rechner??
vielen dank nochmal!!!!!!!!!!!

john.doe 20.05.2009 18:23
Nein, dann warte lieber bis wir durch sind. Gleich vorneweg: Neuinstallation ist schneller und sicherer als Reinigung. Deine Entscheidung.

ciao, andreas

virenhaber 20.05.2009 18:24
oik, vielen dank, werde das system formatieren!!

was meinst du denn mit bis ihr durch seit, was macht ihr noch genau (kenne mich nicht so aus)

john.doe 20.05.2009 18:31
Zitat:
werde das system formatieren!!
Gute Entscheidung. :aplaus: http://www.trojaner-board.de/51262-a...sicherung.html
Zitat:
was meinst du denn mit bis ihr durch seit
Die meisten entscheiden sich für Bereinigung, das dauert aber nunmal länger, davon sprach ich. Also Neuinstallieren, SP3 drauf, bei MS vorbeischauen und alle Updates durchführen, dann alle Kennwörter ändern.

Geben deinen Kumpels auch Bescheid, ein gekaperter Account ist ärgerlich.

ciao, andreas

virenhaber 20.05.2009 18:35
also dieses programm hatte die funktion Steam passwörter, oder alle passwörter herauszufinden? sie klappen noch, werde gleich nach der formatierung ändern!


vielen dank nochmal, coole seite hier:heilig:

john.doe 20.05.2009 18:38
Schau selbst: ThreatExpert Report: Trojan.DR.VB.DYNA, Trojan-Dropper.Win32.VB.afv, Trojan.Dropper, PWS-Steam..

Er klaut das Kennwort für den Messengeraccount, alle Produktkeys, die greifbar sind und den Steamaccount.

Achte unten auf den Usernamen. :)

ciao, andreas

p.s.: Da ist nicht zufällig dein Username dabei?
Code:
L:\Dokumente und Einstellungen\Admin>ftp ftp.extra.hu
Verbindung mit ftp.extra.hu wurde hergestellt.
220 80.77.120.43 FTP server ready
Benutzer (ftp.extra.hu:(none)): waseinidiot
331 Password required for waseinidiot.
Kennwort:
230 User waseinidiot logged in.
ftp> dir
200 PORT command successful
150 Opening ASCII mode data connection for file list
drwxrwxr-x  2 waseinidiot webmaster    4096 May 20 13:21 .
drwxrwxr-x  2 waseinidiot webmaster    4096 May 20 13:21 ..
-rw-rw-rw-  1 waseinidiot webmaster    1877 May 19 00:52 ALEX-65E161CAD2
-rw-rw-rw-  1 waseinidiot webmaster    1865 May 18 14:15 CHRISTIAN
-rw-rw-rw-  1 waseinidiot webmaster    1889 May 20 11:18 HENRY
-rw-rw-rw-  1 waseinidiot webmaster    1872 May 19 16:33 JAY-12-PC
-rw-rw-rw-  1 waseinidiot webmaster    2446 May 19 16:04 KRASNICPAOLO
-rw-rw-rw-  1 waseinidiot webmaster    2162 May 20 13:21 MYCOMPUTER
-rw-rw-rw-  1 waseinidiot webmaster    3328 May 18 13:34 SERVER
-rw-rw-rw-  1 waseinidiot webmaster    2415 May 18 17:00 SHOCKWAVE
-rw-rw-rw-  1 waseinidiot webmaster    2718 May 20 11:49 STOTZEM-PC
-rw-rw-rw-  1 waseinidiot webmaster    2149 May 18 19:17 XX-TIIGHT-XX-PC
226 Transfer complete.
FTP: 64d Bytes empfangen in 0,00Sekunden 835000,00KB/s
ftp>

virenhaber 20.05.2009 18:44
also gleich alles ändern! was fürnen usernamen???

john.doe 20.05.2009 18:51
Die, die rechts zu sehen sind. :)

So sieht das übrigens aus (*** von mir):
Code:
#########################################################
#########################################################
###########      Universal1337 Version 2      ###########
###########                                  ###########
###########            By Eddy-K            ###########
###########                                  ###########
#########################################################
#########################################################
 
 
 
 
/////////////////////////////////////////////////////
////////////          Steam          //////////////
/////////////////////////////////////////////////////
 
==================================================
Account: ***shunte***
Password: ******
==================================================
 
 
 
 
/////////////////////////////////////////////////////
////////////          Internet        //////////////
/////////////////////////////////////////////////////
 
==================================================
Entry Name        : freenet
Phone / Host      : 0101901929
User Name        : ****
Password          : ****
Domain            :
Owner            : System
User Profile      : chris
==================================================


 
 
 
 
/////////////////////////////////////////////////////
////////////        Messengers        //////////////
/////////////////////////////////////////////////////
 
==================================================
Software          : Windows Live Messenger
Protocol          : MSN Messenger
User              : ***ss.la******h@web.de
Password          : ***195cl
==================================================


 
 
 
 
/////////////////////////////////////////////////////
////////////        Produkt Keys      //////////////
/////////////////////////////////////////////////////
 
==================================================
Product Name      : Microsoft Windows XP
Product ID        : ***75-640-1457236-23***
Product Key      : ***YB-Q73J8-RKPMH-M2WFT-P4***
Computer Name    : SERVER
==================================================

==================================================
Product Name      : Internet Explorer
Product ID        : ***75-640-1457236-23***
Product Key      : ***YB-Q73J8-RKPMH-M2WFT-P4***
Computer Name    : SERVER
==================================================

==================================================
Product Name      : Microsoft Office Professional Edition 2003
Product ID        : ***32-640-0000106-57***
Product Key      : ***28-DGCMP-P6RC4-6J4MT-3H***
Computer Name    : SERVER
==================================================

==================================================
Product Name      : Microsoft Office Professional Plus 2007 (Beta)
Product ID        : ***03-602-0016696-58***
Product Key      : ***FP-TGTKC-2366R-8VJMB-DG***
Computer Name    : SERVER
==================================================

==================================================
Product Name      : Microsoft Office Enterprise 2007
Product ID        : ***88-707-1528066-65***
Product Key      : ***VY-7733B-8WCK9-KTG64-BC***
Computer Name    : SERVER
==================================================
ciao, andreas

virenhaber 20.05.2009 18:55
ne, name nicht dabei.
sehr interesasant aber alles! aber mit messenger pws kann er wohl nix anfangen denke ich :D

wie könnte denn meiner dabei sein? hast du jetzt sozusagen auch passwörter anderer leute durch das programm gesehen?

john.doe 20.05.2009 19:00
Zitat:
aber mit messenger pws kann er wohl nix anfangen denke ich
Doch die werden verkauft und dann für Spams missbraucht.
Zitat:
wie könnte denn meiner dabei sein?
Du hast das Programm gestartet, das reicht.
Zitat:
hast du jetzt sozusagen auch passwörter anderer leute durch das programm gesehen?
Ich war so frei mir alle runterzuladen. :D

Allerdings bin ich ein Hacker der ersten Generation => Hackerethik

ciao, andreas

john.doe 20.05.2009 20:49
Nur der Vollständigkeit halber:

1.) Es ging eine Mail an abuse(at)jasmin.hu

2.) Alle, von denen mir die Emailadresse bekannt war, wurden informiert ihre Kennwörter zu ändern.

3.) Da hat doch ein ganz Böser alle Daten gelöscht und einen Gruß hinterlassen. :D
Code:
L:\Dokumente und Einstellungen\Admin>ftp ftp.extra.hu
Verbindung mit ftp.extra.hu wurde hergestellt.
220 80.77.120.43 FTP server ready
Benutzer (ftp.extra.hu:(none)): waseinidiot
331 Password required for waseinidiot.
Kennwort:
230 User waseinidiot logged in.
ftp> dir
200 PORT command successful
150 Opening ASCII mode data connection for file list
drwxrwxr-x  2 waseinidiot webmaster    4096 May 20 19:43 .
drwxrwxr-x  2 waseinidiot webmaster    4096 May 20 19:43 ..
-rw-rw-rw-  1 waseinidiot webmaster    1723 May 20 19:38 www.trojaner-board.de

226 Transfer complete.
FTP: 64d Bytes empfangen in 0,05Sekunden 4,50KB/s
ftp>
4.) Die Domain wurde schon gesperrt.
Zitat:
Die Domain "criminal-vb6ers.one-crew.net" wurde gesperrt.
ciao, andreas

p.s.: Du bist entlassen. :)

virenhaber 20.05.2009 23:07
wollte mich erst nochmal recht herzlich bedanken, echt cool das du sowas kannst und geholfen hast :singsing:

noch wegen interesse: also du konntest rausfinden, wer alles diesen virus empfangen hat und wer ihn konstruiert hat? und du hast das gesperrt, sodass derjeneige da nicht mehr drauf zugreifen kann und keine neuen passwörter mehr bekommt? finde das krass..:party:

schönen gruß

john.doe 20.05.2009 23:28
Zitat:
wer alles diesen virus empfangen hat
Ja.
Zitat:
und wer ihn konstruiert hat?
Nein.
Zitat:
und du hast das gesperrt, sodass derjeneige da nicht mehr drauf zugreifen kann
Nein, ich habe versucht das zu veranlassen.

Du schaust jetzt noch mal hier vorbei: http://www.trojaner-board.de/432340-post35.html

Dann klickst du auf die letzten beiden Links in meiner Signatur und lernst alles auswendig. Besonders das hier:
Zitat:
Wie schützt man sich denn dann am besten vor Viren und Würmern?

Die einfache Antwort:
  • Man klickt nicht auf alles, was nicht bei 3 auf den Bäumen ist und hält seine Software auf dem neuesten Sicherheitsstand.
  • Ein gesundes Maß an Paranoia ist zu empfehlen, außerdem sollte man Software mit vielen Sicherheitslücken wie Outlook und Internet Explorer erst gar nicht einsetzen.
  • Software aus dubiosen Quellen wie Freunde, Edonkey, Warez-Seiten sollte man nicht einmal mit der Kneifzange anfassen.
  • Außerdem sind Email-Anhänge grundsätzlich "bah", auch wenn sie von Freunden kommen.
Sonst bist du spätestens in 2 Wochen wieder hier. :D

ciao, andreas


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:12 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131