|
Log-Analyse und Auswertung: Infektionsverdacht (Rootkit, Botnet, Remote Access) / Win7 SP1 / 64bitWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
19.07.2011, 17:33 | #16 |
| Infektionsverdacht (Rootkit, Botnet, Remote Access) / Win7 SP1 / 64bit Herzlichen Glückwunsch Sie haben Level 1 geschafft! Nein im Ernst, jetzt kann ich definitiv sagen (und notfalls auch beweisen), dass mein System Infiziert wurde. Log von SASW: Code:
ATTFilter SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 07/18/2011 at 09:01 PM Application Version : 4.55.1000 Core Rules Database Version : 7421 Trace Rules Database Version: 5233 Scan type : Complete Scan Total Scan Time : 01:43:32 Memory items scanned : 559 Memory threats detected : 0 Registry items scanned : 12681 Registry threats detected : 0 File items scanned : 348354 File threats detected : 8 Trojan.Agent/Gen-UsrMgr D:\QTSDK\MAEMO\4.6.2\MADBIN\MD5SUM.EXE D:\QTSDK\MAEMO\4.6.2\MADBIN\SHA1SUM.EXE D:\QTSDK\MAEMO\4.6.2\MADBIN\SHA256SUM.EXE D:\QTSDK\MAEMO\4.6.2\MADBIN\TARLISTED.EXE D:\QTSDK\MAEMO\4.6.2\MADLIB\UTFS-SERVER.EXE D:\QTSDK\MAEMO\4.6.2\TARGETS\FREMANTLE-PR13\BIN\GCC.EXE D:\QTSDK\MAEMO\4.6.2\TEMPLATES\TOOLWRAPPER.EXE Trojan.Agent/CDesc[Generic] D:\SPIELE\EPS\PLUGINS\SPUIORI.DLL Die SPUIORI.DLL scheint jedoch ein Volltreffer zu sein. Mir ist auch aufgefallen, dass die Datei eine nette Botschaft in der Dateibeschreibung enthält "のろってやる!!" (Auf dt. etwa "Ich werde verflucht!!"). Das seltsame daran ist, der Explorer zeigt einen Zeitstempel von 2001 an, vielleicht wurde dieser manipuliert falls so etwas möglich ist. EDIT: Mist zu früh gefreut... nur 2 der Scanner auf Virustotal haben etwas gefunden und auch nur heuristische Funde: Code:
ATTFilter Antivirus results AhnLab-V3 - 2011.07.19.02 - 2011.07.19 - - AntiVir - 7.11.11.232 - 2011.07.19 - - Antiy-AVL - 2.0.3.7 - 2011.07.15 - - Avast - 4.8.1351.0 - 2011.07.19 - - Avast5 - 5.0.677.0 - 2011.07.19 - - AVG - 10.0.0.1190 - 2011.07.19 - Suspicion: unknown virus BitDefender - 7.2 - 2011.07.19 - - CAT-QuickHeal - 11.00 - 2011.07.19 - - ClamAV - 0.97.0.0 - 2011.07.19 - - Commtouch - 5.3.2.6 - 2011.07.19 - - Comodo - 9438 - 2011.07.19 - - DrWeb - 5.0.2.03300 - 2011.07.19 - - Emsisoft - 5.1.0.8 - 2011.07.19 - - eSafe - 7.0.17.0 - 2011.07.19 - - eTrust-Vet - 36.1.8452 - 2011.07.19 - - F-Prot - 4.6.2.117 - 2011.07.19 - - F-Secure - 9.0.16440.0 - 2011.07.19 - - Fortinet - 4.2.257.0 - 2011.07.19 - - GData - 22 - 2011.07.19 - - Ikarus - T3.1.1.104.0 - 2011.07.19 - - Jiangmin - 13.0.900 - 2011.07.19 - - K7AntiVirus - 9.108.4924 - 2011.07.19 - - Kaspersky - 9.0.0.837 - 2011.07.19 - - McAfee - 5.400.0.1158 - 2011.07.19 - - McAfee-GW-Edition - 2010.1D - 2011.07.19 - - Microsoft - 1.7000 - 2011.07.19 - - NOD32 - 6307 - 2011.07.19 - - Norman - 6.07.10 - 2011.07.18 - - nProtect - 2011-07-19.01 - 2011.07.19 - - Panda - 10.0.3.5 - 2011.07.19 - - PCTools - 8.0.0.5 - 2011.07.13 - - Prevx - 3.0 - 2011.07.19 - - Rising - 23.67.01.05 - 2011.07.19 - - Sophos - 4.67.0 - 2011.07.19 - - SUPERAntiSpyware - 4.40.0.1006 - 2011.07.19 - Trojan.Agent/CDesc[Generic] Symantec - 20111.1.0.186 - 2011.07.19 - - TheHacker - 6.7.0.1.257 - 2011.07.18 - - TrendMicro - 9.200.0.1012 - 2011.07.19 - - TrendMicro-HouseCall - 9.200.0.1012 - 2011.07.19 - - VBA32 - 3.12.16.4 - 2011.07.19 - - VIPRE - 9904 - 2011.07.19 - - ViRobot - 2011.7.19.4577 - 2011.07.19 - - VirusBuster - 14.0.130.1 - 2011.07.19 - - File info: MD5: 43e8e948c6c9a7b56939d5eb1e3c7ddc SHA1: 72dfb0155624c372638d6951f686b983f0bfe15d SHA256: 7155a9901158b60e993a0c11bf96d03f9979405f0ef846c5133a25865260b24c File size: 44020 bytes Scan date: 2011-07-19 16:46:21 (UTC) Auffällig ist die, wahrscheinlich nach dem Einsatz von TDSSKiller, entfallene Rootkit Funktion des eigentlichen Schädlings. Momentan werden beim Aufrufen des Firefox zahlreiche Verbindungen zum Host dd3728.kasseserver.com hergestellt (nachladen von neuem Schadcode?). Die Verbindungen werden Firefox zugeordnet, ob auch Verbindungen geöffnet werden wenn ich einen anderen Browser verwende habe ich noch nicht überprüft. Momentan gehe ich davon aus, dass der PC mit einer relativ neuen Version eines online Banking Trojaners infiziert ist. Und ich dachte schon ich werde bald paranoid Edit: Malwarebytes hat nichts gefunden und ESET braucht ja eine Internetverbindung (IMHO momentan kontraproduktiv)
__________________ Freundliche Grüße Close1 -- [leichenwagen@twitter] Erst wenn der letzte Programmierer eingesperrt und die letzte Idee patentiert ist, werdet ihr merken, daß Anwälte nicht programmieren können. Geändert von close1 (19.07.2011 um 18:04 Uhr) |
19.07.2011, 21:15 | #17 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Infektionsverdacht (Rootkit, Botnet, Remote Access) / Win7 SP1 / 64bitZitat:
__________________ |
20.07.2011, 17:03 | #18 |
| Infektionsverdacht (Rootkit, Botnet, Remote Access) / Win7 SP1 / 64bit Es handelt sich nicht direkt um ein Spiel, sondern um einen Emulator [1] für eine Homebrew Plattform.
__________________Auf diesem Emulator können Spiele, welche mit einem SDK [2] für die PSX programmiert wurden, ohne BIOS für den Emulator entwickelt und gespielt werden. Nach meinen Recherchen ist diese Art der Verwendung nicht illegal. [1] XEBRA/ARBEX dieser Emulator kann ohne ein illegales BIOS Homebrew Spiele emulieren. [2] z.B. Mit diesem Open Source Tool hxxp://code.google.com/p/psxsdk/ --On Topic-- Diese DLL ist jedoch sehr unwahrscheinlich für die Infektion verantwortlich, oder siehst du das anders?
__________________ |
20.07.2011, 20:24 | #19 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Infektionsverdacht (Rootkit, Botnet, Remote Access) / Win7 SP1 / 64bit Auch wenn es angeblich nicht illegal ist würde ich die dubiosen Sachen max. mit der Kneifzange anfassen. Ist wie mit allen anderen ausführbaren Dateien aus dubiosen Quellen, allen vorans Keygens und Cracks
__________________ Logfiles bitte immer in CODE-Tags posten |
22.07.2011, 12:56 | #20 |
| Infektionsverdacht (Rootkit, Botnet, Remote Access) / Win7 SP1 / 64bit Wenn man sich mit dem Thema beschäftigt erscheint es einem nicht mehr dubios, irgendwann empfindet man es auch nicht mehr als Risiko. Was mich noch stört, der eigentliche Schädling ist bis jetzt in noch keinem Logfile aufgetaucht und kann, dadurch impliziert, auch nicht entfernt werden. Außerdem kann ich auch nicht sagen wodurch das System infiziert wurde, vielleicht Flash oder Adobe Reader oder eben die spuiori.dll aber es gibt keine handfesten Hinweise darauf, das stört mich ein wenig. Wie könnte ich denn jetzt am besten weitermachen? Oder machen weitere Scans keinen Sinn mehr? Die spuiori.dll könnte ich zur Analyse an entsprechende Stellen schicken, halte aber die Wahrscheinlichkeit für sehr gering, dass die Datei wirklich Malware enthält, hätte da gerne noch eine zweite Meinung. Aber bis hier hin vielen Dank schon mal, werde mich jedoch frühstens nach dem Wochenende melden.
__________________ Freundliche Grüße Close1 -- [leichenwagen@twitter] Erst wenn der letzte Programmierer eingesperrt und die letzte Idee patentiert ist, werdet ihr merken, daß Anwälte nicht programmieren können. |
22.07.2011, 13:24 | #21 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Infektionsverdacht (Rootkit, Botnet, Remote Access) / Win7 SP1 / 64bitZitat:
Wie ist es denn um den Rechner jetzt bestellt?
__________________ --> Infektionsverdacht (Rootkit, Botnet, Remote Access) / Win7 SP1 / 64bit |
26.07.2011, 17:20 | #22 |
| Infektionsverdacht (Rootkit, Botnet, Remote Access) / Win7 SP1 / 64bit Es sind keine wichtigen Dokumente auf dem PC gespeichert und die Hardware ist auch noch "aktuell", jedoch ist es sehr aufwändig die Applikationen wieder zu installieren. Bei den Programmen welche keinen Export der Einstellungen unterstützen, werde ich die Konfiguration wohl nicht mehr so hinbekommen. Außerdem müsste ich die Programme welche man nur im Netz bekommt über meinen Surfstick runterladen (Steam games..) Insgesamt müsste ich, außer Windows, etwa 60GB an Programmen neu installieren, Steam macht davon 32GB und das Qt SDK mit Erweiterungen etwa 9GB aus (es handelt sich um die Größe auf dem Datenträger). Aber so lassen will ich den Rechner wirklich nicht, die Spiele sind nicht so wichtig und um die Konfigurationen ist es schade, aber ein sauberer Rechner ist wichtiger.
__________________ Freundliche Grüße Close1 -- [leichenwagen@twitter] Erst wenn der letzte Programmierer eingesperrt und die letzte Idee patentiert ist, werdet ihr merken, daß Anwälte nicht programmieren können. |
Themen zu Infektionsverdacht (Rootkit, Botnet, Remote Access) / Win7 SP1 / 64bit |
.html, adblock, antivir, bot, botnet, browser, defogger, firefox, formatieren, free, hacker, hijack, hijackthis, internetverbindung, ip adresse, linux, mail, neu, port, port 80, programme, prozesse, remote, remote access, rootkit, scan, security, system, systeme, tan, thread, verdacht, win7 |