Hallo zusammen,
ich hatte vor ein paar Wochen einen Freund am PC surfen lassen und er wollt unbedingt „Xblathief“ habe um irgendwie Spiele mit dem Rechen anstatt der Xbox zuladen. Die ersten 3.Downloads waren mit Trojanern verseucht und wurden von Norton gleich beseitigt. Der 4. Download schien in Ordnung zu sein. Wobei ich hätte mal besser wenig Xbox gezogt wären er im Netz unterwegs war dann wäre mit sicherlich aufgefallen das ein Tool das XBOX Live Dieb heißt Ärger machen könnte.

Aber zu spät. Nach dem starten des Tool und der Aufforderung seine XLA Daten einzugeben unterband ich alles und dacht einfach an einen Keylogger der nur mein XBL Passwort haben möchte.

Da ich mich mit dem erkennen von Trojaner im System überhaupt nicht auskenne macht ich ihm den Vorschlag das Tool zu analysieren wie wir es in einem Video von hxxp://www.evild3ad.com mit dem GEMA –Trojaner gezeigt wird (hxxp://www.youtube.com/watch?v=9pJCJ-0Wqo8).

Nach vielen, vielen Einstellungen lief Sandboxi mit dem Analyse Tool und sagte mit zu „xblathief 1.0.2.1.exe“ das wohl die Keyloger Funktion bei diesem Tool aktiv sei. Aber als ob das nicht schon schlimm genug wäre hat es auch noch eine versteckte Dateien erzeugt (C:\Windows\SbiePst.dat), Einträge verändern und in der Registry rum gefuscht.

Wer kann mir genaueres sagen ?
Wer hat die Lust oder Laune das Tool zu analysieren und auch dann zusagen was die ganzen geänderten Register Einträge bewirken sollen. Vor allem: WAS MACHT SbiePst.dat ?

Tool ist noch im gesicherten Ordner und kann zugesandt werden

Hier ein kleiner Auszug aus der Log Dateien:

Zitat:

* Creates file (hidden) C:\Windows\SbiePst.dat
* Modifies file C:\Windows\system32\CatRoot2\dberr.txt
* Modifies file C:\Windows\system32\CatRoot2\edb.chk
* Creates file C:\Windows\system32\CatRoot2\edb00145.log
* Creates file C:\Windows\system32\CatRoot2\edb00146.log
* Creates file C:\Windows\system32\CatRoot2\edb00147.log
* Creates file C:\Windows\system32\CatRoot2\edb00148.log
* Creates file C:\Windows\system32\CatRoot2\edb00149.log
* Creates file C:\Windows\system32\CatRoot2\edb0014A.log
* Creates file C:\Windows\system32\CatRoot2\edb0014B.log
* Creates file C:\Windows\system32\CatRoot2\edb0014C.log
* Creates file C:\Windows\system32\CatRoot2\edb0014D.log
* Creates file C:\Windows\system32\CatRoot2\edb0014E.log
* Creates file C:\Windows\system32\CatRoot2\edb0014F.log
* Creates file C:\Windows\system32\CatRoot2\edb00150.log
* Creates file C:\Windows\system32\CatRoot2\edb00151.log
* Creates file C:\Windows\system32\CatRoot2\edb00152.log
* Creates file C:\Windows\system32\CatRoot2\edb00153.log
* Creates file C:\Windows\system32\CatRoot2\edb00154.log
* Creates file C:\Windows\system32\CatRoot2\edb00155.log
* Creates file C:\Windows\system32\CatRoot2\edb00156.log
* Creates file C:\Windows\system32\CatRoot2\edb00157.log
* Creates file C:\Windows\system32\CatRoot2\edb00158.log
* Creates file C:\Windows\system32\CatRoot2\edb00159.log
* Creates file C:\Windows\system32\CatRoot2\edb0015A.log
* Deletes file C:\Windows\system32\CatRoot2\edb003CA.log
* Creates file C:\ProgramData\Microsoft\Windows\WER\ReportArchive\AppCrash_csc.exe_39f76c3d665eb2249263cdfa3be46b33353336_1108a321\Report.wer
* Creates file C:\ProgramData\Microsoft\Windows\WER\ReportArchive\AppCrash_csc.exe_39f76c3d665eb2249263cdfa3be46b33353336_1635e34d\Report.wer
* Creates file C:\ProgramData\Microsoft\Windows\WER\ReportArchive\AppCrash_firefox.exe_b01a5129d758695d3f9bd1768c8f66aab4cb99_1057aa90\Report.

* Modifies value "Type=03000000" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0347C33E-8762-4905-BF09-768834316C61}\iexplore
old value empty
* Modifies value "Count=140D0000" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0347C33E-8762-4905-BF09-768834316C61}\iexplore
old value empty
* Modifies value "Time=DC0705000000060012000E000300D302" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0347C33E-8762-4905-BF09-768834316C61}\iexplore
old value empty
* Modifies value "Type=03000000" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}\iexplore
old value empty
* Modifies value "Count=FB060000" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}\iexplore
old value empty
* Modifies value "Time=DC0705000000060012000E0004003C01" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}\iexplore
old value empty
* Modifies value "Blocked=D6060000" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}\iexplore
old value empty
* Modifies value "Type=03000000" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}\iexplore
old value empty
* Modifies value "Count=67070000" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}\iexplore
old value empty
* Modifies value "Time=DC0705000000060012000E0004004B01" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}\iexplore
old value empty
* Modifies value "AutoDetect=01000000" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
old value empty


[ Network services ]
* No changes

[ Process/window/string information ]
* Keylogger functionality.
* Enables process privileges.
* Creates an event named "Global\CorDBIPCSetupSyncEvent_8136".
* Creates process "(null),C:\Windows\Microsoft.NET\Framework\v2.0.50727\csc.exe,(null)".
* Injects code into process "c:\windows\microsoft.net\framework\v2.0.50727\csc.exe".
* Creates process "C:\Program Files\Mozilla Firefox\firefox.exe,,(null)".
* Injects code into process "c:\program files\mozilla firefox\firefox.exe".
* Creates process "C:\Windows\system32\WerFault.exe,C:\Windows\system32\WerFault.exe -u -p 2936 -s 64,C:\Windows\system32".
* Enumerates running processes.
* Creates a mutex "Local\WERReportingForProcess2936".
* Creates a mutex "Global\64bc7d62-97a7-11e1-b567-001dba1d9148".
* Creates a mutex "Local\WERReportingForProcess3960".
* Creates a mutex "Global\66a93a3b-97a7-11e1-b567-001dba1d9148".
* Terminates process "c:\windows\microsoft.net\framework\v2.0.50727\csc.exe".

Bitte erstmal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log