Log-file

Wildone · 12.07.2006, 22:05

Hallo,
mal der Reihe nach, das umbennen hat mit Blacklight geklappt? Gab es einen Neustart? Werden die Dateien bei Blacklight noch angezeigt?

Suche mal mit folgendem Begriff "*.ren" (ohne Anführungszeichen).

Grüße Wildone

cav414 · 12.07.2006, 22:28

Hmmm
Blacklight findet beide Dateien noch. Die eine ist umbenannt, die andere hat er auch beim 3. Versuch nicht geändert. Mit .ren find ich auch nix.

07/12/06 23:18:41 [Info]: BlackLight Engine 1.0.42 initialized
07/12/06 23:18:41 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/12/06 23:18:41 [Note]: 7019 4
07/12/06 23:18:41 [Note]: 7005 0
07/12/06 23:18:43 [Note]: 7006 0
07/12/06 23:18:43 [Note]: 7011 424
07/12/06 23:18:44 [Note]: 7026 0
07/12/06 23:18:44 [Note]: 7026 0
07/12/06 23:19:00 [Note]: FSRAW library version 1.7.1019
07/12/06 23:19:05 [Info]: Hidden file: c::kbdanil.dll
07/12/06 23:22:08 [Info]: Hidden file: c:\WINDOWS\lurnk1.dll.ren
07/12/06 23:22:08 [Note]: 10002 1

Wildone · 12.07.2006, 22:37

Hallo,
hmm, ist halt etwas brandneues was du dir da gefangen hast. Ist das erste mal das ich erlebe das die Renamefunktion nicht funktioniert.
Ist die Datei ev. im abgesichrten Modus (F8 beim booten)zu sehen?

Ansonsten fällt mir erstmal nicht mehr soviel ein, du hast nicht zufällig eine Bart PE CD zuhause rumliegen?
Vielleicht habe ich morgen noch mehr Ideen, mal schauen.

Grüße Wildone

cav414 · 12.07.2006, 23:27

Auch Fehlanzeige.

Danke jedenfalls schon einmal. Find das echt super dass es Leute gibt die sich soviel Mühe geben soviel Zeit investieren um anderen zu helfen.

Wildone · 13.07.2006, 09:20

Hallo,
besorge dir mal eine Knoppix boot CD, starte das Linuxsystem dann von CD und schau mal ob du von dort aus an die Dateien heran kommst, wenn ja, übeprüfe sie auf virustotal.com.

Und du solltest dich mental auch mal mit der Option eines Neuaufsetzen des Systems auseinander setzen.

Grüße Wildone

felix1 · 13.07.2006, 09:26

Erstelle Dir mal so eine CD und boote dann mit dieser:
http://www.pcwelt.de/know-how/softwa...798/index.html

@ Moin, Wildone

Wildone · 13.07.2006, 09:32

Hallo,
@felix1 Moin

An Bart PE hatte ich auch schon gedacht, ein Versuch ist es auf jeden Fall wert, bin mir aber nicht sicher ob man es von einem potenziell kompromittierten System aus erstellen sollte, aber mal abwarten, vielleicht funktioniert es.

Grüße Wildone

felix1 · 13.07.2006, 09:45

@ Wildone
Sollte funktionieren, da die Daten ja von der XP-CD genommen werden. IMHO zieht er nur Treiber u.ä. von der HDD.

cav414 · 13.07.2006, 16:30

Also die lurnk1.dll.ren hab ich mit linux gefunden und an die email adresse geschickt und wart jetzt einmal auf eine antwort. Hatte sogar noch eine Knoppix CD daheim die ich einmal bekommen habe.

Von der zweiten fehlt aber nach wie vor jede Spur. Was mich da ein bisschen irritiert: Blacklight gibt an die Datei heißt :kbdanil.dll. Im Log-file steht als pfad aber c::kbdanil.dll. Müsste das dann nicht c:\:kbdanil.dll heißen?

Wildone · 13.07.2006, 16:36

Hallo,
ähhm, welche E-Mail Adresse? Hier hochladen, und 2 Minuten warten wäre schneller.

Zitat:

Blacklight gibt an die Datei heißt :kbdanil.dll. Im Log-file steht als pfad aber c::kbdanil.dll. Müsste das dann nicht c:\:kbdanil.dll heißen?

Ist mir ehrlich gesagt selbst nicht ganz klar, schau nochmal ob du sie in Knoppix nicht doch findest.

Grüße Wildone

cav414 · 13.07.2006, 17:10

Ja das geht unter dem link per email auch. Hier das Ergebnis:

AntiVir 6.35.0.21 07.13.2006 HEUR/Crypted.Patched
Authentium 4.93.8 07.12.2006 no virus found
Avast 4.7.844.0 07.12.2006 Win32:Agent-gen
AVG 386 07.13.2006 no virus found
BitDefender 7.2 07.13.2006 no virus found
CAT-QuickHeal 8.00 07.13.2006 no virus found
ClamAV devel- 20060426 07.13.2006 no virus found
DrWeb 4.33 07.13.2006 no virus found
eTrust-InoculateIT 23.72.67 07.13.2006 no virus found
eTrust-Vet 12.6.2296 07.13.2006 no virus found
Ewido 4.0 07.13.2006 no virus found
Fortinet 2.77.0.0 07.13.2006 suspicious
F-Prot 3.16f 07.12.2006 no virus found
F-Prot4 4.2.1.29 07.12.2006 no virus found
Ikarus 0.2.65.0 07.13.2006 no virus found
Kaspersky 4.0.2.24 07.13.2006 not-a-virus:AdWare.Win32.LinkOptimizer.a
McAfee 4805 07.12.2006 no virus found
Microsoft 1.1481 07.13.2006 no virus found
NOD32v2 1.1657 07.13.2006 probably a variant of Win32/TrojanDownloader.Agent.BQ
Norman 5.90.23 07.13.2006 no virus found
Panda 9.0.0.4 07.13.2006 no virus found
Sophos 4.07.0 07.13.2006 no virus found
Symantec 8.0 07.13.2006 no virus found
TheHacker 5.9.8.174 07.13.2006 no virus found
UNA 1.83 07.12.2006 no virus found
VBA32 3.11.0 07.12.2006 no virus found
VirusBuster 4.3.7:9 07.13.2006 no virus found

Wildone · 13.07.2006, 17:28

Hallo,
hmm prinzipiell scheint mir das nicht so schlimm zu sein, jetzt ist nur noch die Frage wie wir es weg bekommen. Versuche es mal mit knoppix zu löschen, aber ich befürchte das man dazu schreibrechte braucht, google hierfür mal nach NTFS und knoppix.
Wie wir die andere Datei da noch herauskitzeln können ist mir noch schleierhaft, ev. hat sie ja gar nichts mit der Infektion zu tun.

Grüße Wildone

cav414 · 13.07.2006, 17:30

Kann sein. Seit gestern ist jedenfalls Ruhe. Suspekt is sie mir trotzdem.

Wildone · 13.07.2006, 17:33

Mir auch, aber im Moment habe ich keine Ahnung wie wir an die ran kommen sollen, eigentlich müßte sie schon unter Knoppix angezeigt werden, die Frage ist nur unter welchem Namen. Vielleicht durchsuchst du mal nach *.dll und läßt das Ergebniss alphabetisch sortieren, vielleicht würde sie dann dort irgendwo angezeigt.

Grüße Wildone

Wildone · 13.07.2006, 18:05

Hallo,
ev. kannst du es noch mit diesem Tool versuchen die Datei los zu werden.

Grüße Wildone

13.07.2006, 09:26	#21
felix1 /// Helfer-Team	Log-file Erstelle Dir mal so eine CD und boote dann mit dieser: http://www.pcwelt.de/know-how/softwa...798/index.html @ Moin, Wildone __________________ --> Log-file

13.07.2006, 09:45	#23
felix1 /// Helfer-Team	Log-file @ Wildone Sollte funktionieren, da die Daten ja von der XP-CD genommen werden. IMHO zieht er nur Treiber u.ä. von der HDD. __________________ LG Der Felix Keine Hilfe per PN und E-Mail

Log-file

Log-Analyse und Auswertung: Log-file

Log-file

Log-file

Log-file

Log-file

Log-file

Log-file

Log-file

Log-file

Log-file

Log-file

Log-file

Log-file

Log-file

Log-file

Log-file

Ähnliche Themen: Log-file

12.07.2006, 22:05	#16
Wildone	Log-file Hallo, mal der Reihe nach, das umbennen hat mit Blacklight geklappt? Gab es einen Neustart? Werden die Dateien bei Blacklight noch angezeigt? Suche mal mit folgendem Begriff "*.ren" (ohne Anführungszeichen). Grüße Wildone

12.07.2006, 23:27	#19
cav414	Log-file Auch Fehlanzeige. Danke jedenfalls schon einmal. Find das echt super dass es Leute gibt die sich soviel Mühe geben soviel Zeit investieren um anderen zu helfen.

13.07.2006, 09:20	#20
Wildone	Log-file Hallo, besorge dir mal eine Knoppix boot CD, starte das Linuxsystem dann von CD und schau mal ob du von dort aus an die Dateien heran kommst, wenn ja, übeprüfe sie auf virustotal.com. Und du solltest dich mental auch mal mit der Option eines Neuaufsetzen des Systems auseinander setzen. Grüße Wildone

13.07.2006, 09:32	#22
Wildone	Log-file Hallo, @felix1 Moin An Bart PE hatte ich auch schon gedacht, ein Versuch ist es auf jeden Fall wert, bin mir aber nicht sicher ob man es von einem potenziell kompromittierten System aus erstellen sollte, aber mal abwarten, vielleicht funktioniert es. Grüße Wildone

13.07.2006, 17:30	#28
cav414	Log-file Kann sein. Seit gestern ist jedenfalls Ruhe. Suspekt is sie mir trotzdem.

13.07.2006, 17:33	#29
Wildone	Log-file Mir auch, aber im Moment habe ich keine Ahnung wie wir an die ran kommen sollen, eigentlich müßte sie schon unter Knoppix angezeigt werden, die Frage ist nur unter welchem Namen. Vielleicht durchsuchst du mal nach *.dll und läßt das Ergebniss alphabetisch sortieren, vielleicht würde sie dann dort irgendwo angezeigt. Grüße Wildone

13.07.2006, 18:05	#30
Wildone	Log-file Hallo, ev. kannst du es noch mit diesem Tool versuchen die Datei los zu werden. Grüße Wildone