Probleme mit Themida

Ultron · 10.07.2007, 09:40

Hallo,

Ich bin neu hier im Forum.

Ich habe vor 2 Tagen Probleme gehabt mit Themida:

Ich hatte eine Datei heruntergeladen. Diese war durch Themida geschützt. Ich habe die Datei gestartet und ca 3 sekunden lang ist gar nichts passiert dann öffnete sich zwei mal das themida fenster, wo stand das das Programm durch eine demo Version von Themida geschützt ist. Da sonst nichts mehr passierte klickte ich auf das Themida Fenster, daraufhin fror der Pc ein. Also startete ich den Pc neu. Es erschienen wieder zwei Fenster von Themida die ich wegklickte, weil die Windows Oberfläche nicht erschien. Daraufhin recherchierte ich über Google. Dort habe ich dann eine Möglichkeit gefunden Themida zu entfernen. Ich startete den Pc neu und klickte nur auf das erste der beiden Themida Fenster. Die Windows Oberfläche erschien und ich startete den Taskmanager. Ich hatte erfahren, dass ein Prozess mit dem Namen server.exe beendet werden müsse. Ich brachte den Ordner in dem server.exe war in Erfahrung. Ich beendete den Prozess server.exe über den Taskmanager. Daraufhin verschwand das zweite Themida Fenster. server.exe war wie ich vorher herausgefunden hatte in C:\WINDOWS\system32\server (ein versteckter Ordner) ich versuchte diesen Ordner zu löschen erhielt allerdings eine Fehlermeldung, andere Programme würden auf kalog.dat zugreifen. Ich startete einen weiteren Versuch im abgesicherten Modus. Im abgesicherten Modus konnte ich den Ordner ohne Probleme löschen. Zuerst war damit alles wieder in Ordnung. Bis dahin hatte ich nicht bemerkt, dass ein Textdokument erschienen war welches upload hieß. Dieses Textdokument enthielt folgendes:

<?xml version="1.0" encoding="ISO-8859-1" ?>
<ProcessQuery>
<Time>07.07.2007 12:08:23</Time>
<WRPVersion>2.2.0.0</WRPVersion>
<WRFVersion>2.2.0.512</WRFVersion>
<Process>
<Process_ID>1408</Process_ID>
<Process_Name>svchost.exe</Process_Name>
<File_Name>C:\WINDOWS\system32\svchost.exe</File_Name>
<User_Name></User_Name>
<Thread_Count>5</Thread_Count>
<Base_Priority>Normal: 8</Base_Priority>
<Parent_Process_ID>996</Parent_Process_ID>
<Handle_Count>105</Handle_Count>
<Page_Fault_Count>901</Page_Fault_Count>
<Peak_Working_Set_Size>3420 K</Peak_Working_Set_Size>
<Working_Set_Size>3392 K</Working_Set_Size>
<Quota_Peak_Paged_Pool_Usage>64 K</Quota_Peak_Paged_Pool_Usage>
<Quota_Paged_Pool_Usage>56 K</Quota_Paged_Pool_Usage>
<Quota_Peak_Non-Paged_Pool_Usage>5 K</Quota_Peak_Non-Paged_Pool_Usage>
<Quota_Non-Paged_Pool_Usage>2 K</Quota_Non-Paged_Pool_Usage>
<Page_File_Usage>2400 K</Page_File_Usage>
<Peak_Page_File_Usage>2444 K</Peak_Page_File_Usage>
<Company_Name>Microsoft Corporation</Company_Name>
<File_Description>Generic Host Process for Win32 Services</File_Description>
<File_Version>5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)</File_Version>
<Internal_Name>svchost.exe</Internal_Name>
<Legal_Copyright>© Microsoft Corporation. All rights reserved.</Legal_Copyright>
<Legal_Trademarks></Legal_Trademarks>
<Original_Filename>svchost.exe</Original_Filename>
<Product_Name>Microsoft® Windows® Operating System</Product_Name>
<Product_Version>5.1.2600.2180</Product_Version>
<Comments></Comments>
<Special_Build></Special_Build>
<Private_Build></Private_Build>
<Language>English - United States</Language>
<LangID>1033</LangID>
<CodePage>1200</CodePage>
<Creation_Time>07.07.2007 12:01:13</Creation_Time>
<Kernel_Time>00:00:00:015</Kernel_Time>
<User_Time>00:00:00:015</User_Time>
<CPU>0,0</CPU>
<GDI_Objects>4</GDI_Objects>
<USER_Objects>1</USER_Objects>
<Read_Operation_Count>8</Read_Operation_Count>
<Write_Operation_Count>11</Write_Operation_Count>
<Other_Operation_Count>228</Other_Operation_Count>
<Read_Transfer_Count>448</Read_Transfer_Count>
<Write_Transfer_Count>4548</Write_Transfer_Count>
<Other_Transfer_Count>7612</Other_Transfer_Count>
<File_Size>14336</File_Size>
<File_Checksum>00009CA9</File_Checksum>
<Modules>
<ModuleRef>C:\WINDOWS\system32\svchost.exe</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\ntdll.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\KERNEL32.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\ADVAPI32.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\RPCRT4.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\ShimEng.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\AppPatch\AcGenral.DLL</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\USER32.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\GDI32.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\WINMM.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\ole32.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\msvcrt.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\OLEAUT32.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\MSACM32.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\VERSION.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\SHELL32.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\SHLWAPI.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\USERENV.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\uxtheme.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\IMM32.DLL</ModuleRef>
<ModuleRef>C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\COMCTL32.dll</ModuleRef>
<ModuleRef>c:\windows\system32\wudfsvc.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\SETUPAPI.dll</ModuleRef>
<ModuleRef>c:\windows\system32\WUDFPlatform.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\Secur32.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\WINTRUST.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\CRYPT32.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\MSASN1.dll</ModuleRef>
<ModuleRef>C:\WINDOWS\system32\IMAGEHLP.dll</ModuleRef>
</Modules>
</Process>
</ProcessQuery>

Ich machte mir weiterhin keine Sorgen, weil ich den Ordner ja schliesslich gelöscht hatte. 2- 3 Minuten nach dem nächstent Hochfahren fror der Pc allerdings erneut ein, dies hatte ich seitdem mehrmals zwischendurch ist es aber möglich für eine Sekunde mal die Maus zu bewegen. Also startete ich neu. Langsam machte ich mir wieder Sorgen wegen Themida ob vielleicht doch noch nicht alles entfernt ist. Ich recherchierte noch ein bisschen im Internet fand allerdings keine neuen Informationen.

Bereits einige Tage zuvor hatte ich mich mit einem Freund zu einem Online Spiel verabredet. Allerdings traten bei mir sehr schnell Fehler auf. Maus und Tastatur machten sich selbständig. Und es war für mich unmöglich vernünftig zu spielen. Ich beendete das Spiel.

Ich merkte, dass ich plötzlich 7 mal svchost.exe hatte. Vorher hatt ich es nur vier mal. Ich weiss das das eigentlich ganz normal aber da in dem Textdokument auch etwas von svchost stand fand ich das ein bisschen merkwürdig.

1 * svchost.exe LOKALER DIENST
1* Speicherauslastung 4620 K
2* svchost.exe NETZWERKDIENST
1* Speicherauslastung 3316 K
1* Speicherauslastung 4252 K
4* svchost.exe SYSTEM
1* Speicherauslastung 3388 K
1* Speicherauslastung 22872 K
1* Speicherauslastung 4836 K
1* Speicherauslastung 4104 K

Das ist aber nicht immer so. Gestern war es nur 6 mal svchost.exe

Also das ist alles was mir aufgefallen ist. Hat einer von euch eine Lösung für meine Probleme. Oder ist die einzigste Lösung ein Neuaufsetzen des Systems?

Hier noch mein Hijack this Log File:

Logfile of HijackThis v1.99.1
Scan saved at 10:34:55, on 10.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Razer\Copperhead\razerhid.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\Logi_MwX.Exe
C:\Programme\ULI5289\ALi5289.exe
C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Razer\Copperhead\razerofa.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\NETGEAR WG311v2 Adapter\wlancfg5.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
E:\dwn\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.msn.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5FFD82AD-ED00-4CA5-81ED-3D4AF13D7D62} - (no file)
O2 - BHO: IEByteRange - {722D2939-A14A-41A9-9EAC-AB8F4E295819} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7A8F5B7A-A74F-495E-8A33-DF6226D2BAD8} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - E:\Programme\Free Download Manager\iefdmcks.dll
O2 - BHO: (no name) - {F2BFFC63-6121-41BD-8118-08EA2035D8FD} - C:\WINDOWS\system32\input32.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [razer] C:\Programme\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ALi5289] C:\Programme\ULI5289\ALi5289.exe
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [startkey] C:\WINDOWS\system32\opengl32.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [startkey] C:\WINDOWS\system32\opengl32.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NETGEAR WG311v2 Smart Configuration.lnk = C:\Programme\NETGEAR WG311v2 Adapter\wlancfg5.exe
O8 - Extra context menu item: Download all with Free Download Manager - file://E:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://E:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://E:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Dokumente und Einstellungen\Musashi\Startmenü\Programme\IMVU\Run IMVU.lnk (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} -
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} -
O16 - DPF: {7B41B7AC-3496-4C13-A70F-DE6B60A6A8A8} -
O16 - DPF: {CD995117-98E5-4169-9920-6C12D4C0B548} -
O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} -
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{37F30F9B-991D-4081-BBB4-1B39F619EF5E}: NameServer = 223.86.0.78,41.0.0.2
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - E:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

Vielen Dank schonmal im Vorraus.

MFG

Ultron

KarlKarl · 10.07.2007, 10:01

Hi,

schade, dass Du die server.exe schon gelöscht hast, die wäre wichtiges Material für eine Untersuchung gewesen. Irgendwie erinnert mich das etwas an Backdoorserver der Klasse Prorat. Wäre mir neu, dass Themida eine server.exe benutzt, das dürfte wohl dan auftreten, wenn Themida benutzt wird, eine server.exe zu schützen aber nicht allgemein für Themida.

Es gibt in dienem Log aber genügend andere schlechte Sachen, die man noch untersuchen kann. Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:

Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
Geschützte Systemdateien ausblenden -> Haken weg
Inhalte von Systemordnern anzeigen -> Haken setzen (diese Option ist bei Windows 2000 nicht vorhanden)
Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen

Folgende Dateien bei VirusTotal scannen lassen und Ergebnisse komplett hierher kopieren.

C:\WINDOWS\system32\input32.dll
C:\WINDOWS\system32\opengl32.exe
außerdem all anderen noch vorhandenen Dateien aus dem Zusammenhang, insbsondere dieses runtergeladene Programm

Falls Du dich nicht gerade in Mauritius aufhältst, dürfte auch dein DNS gehijackt sein.

Was den Prorat-Verdacht angeht, könnte maqn sich noch dieses Log ansehen: Lade SilentRunners von dieser Seite auf den Desktop runter. Alle Programme schließen und SilentRunners starten. In der Abfrage "nein" wählen, damit die "supplementary searches" ebenfalls ausgeführt werden. Die weitere Abfrage mit "ja" bestätigen. Nun warten, bis SilentRunners mit einem Fenster bestätigt fertig zu sein, dies kann einige Zeit dauern. Das Logfile findest Du danach auf dem Desktop. Dessen Inhalt posten. Füge vorher diese Zeile ein:

Zitat:

[CODE]

und dahinter diese:

Zitat:

[/CODE]

Gruß, Karl

Ultron · 10.07.2007, 11:11

Hier ist der Scan der Datei input32.dll:

Complete scanning result of "input32.dll", processed in VirusTotal at 07/10/2007 11:46:51 (CET).

[ file data ]
* name: input32.dll
* size: 31927
* md5.: b9d51f85d7d6f26ad0fad720d5ac3b0e
* sha1: a47c5f56fda687a1927f17b9df48d4c86ca62d67

[ scan result ]
AhnLab-V3 2007.7.7.0/20070710 found [Win-Trojan/Stud.10224]
AntiVir 7.4.0.39/20070710 found [ADSPY/Stud.A.29]
Authentium 4.93.8/20070709 found nothing
Avast 4.7.997.0/20070709 found [Win32:Trojano-3384]
AVG 7.5.0.476/20070709 found [Adware Generic.RSB]
BitDefender 7.2/20070710 found [Adware.Stud.A]
CAT-QuickHeal 9.00/20070709 found [AdWare.Stud.a (Not a Virus)]
ClamAV devel-20070416/20070710 found [Adware.BHO-12]
DrWeb 4.33/20070710 found [Trojan.DownLoader.6588]
eSafe 7.0.15.0/20070708 found nothing
eTrust-Vet 30.8.3777/20070710 found nothing
Ewido 4.0/20070710 found [Downloader.Small.cgu]
F-Prot 4.3.2.48/20070709 found [W32/Adware.ENL]
FileAdvisor 1/20070710 found nothing
Fortinet 2.91.0.0/20070710 found nothing
Ikarus T3.1.1.8/20070710 found [not-a-virus:AdWare.Win32.Stud.a]
Kaspersky 4.0.2.24/20070710 found [not-a-virus:AdWare.Win32.Stud.a]
McAfee 5070/20070709 found nothing
Microsoft 1.2704/20070710 found [Trojan:Win32/Webprefix]
NOD32v2 2389/20070710 found [a variant of Win32/Adware.BHO.AA]
Norman 5.80.02/20070709 found [W32/Stud.R]
Panda 9.0.0.4/20070710 found [Adware/KeenValue]
Sophos 4.19.0/20070706 found [MapKon]
Sunbelt 2.2.907.0/20070707 found nothing
Symantec 10/20070710 found [Adware.Webprefix]
TheHacker 6.1.6.144/20070709 found [Adware/Stud.a]
VBA32 3.12.0.2/20070709 found [suspected of Trojan-Downloader.Agent.49]
VirusBuster 4.3.23:9/20070709 found nothing
Webwasher-Gateway 6.0.1/20070710 found [Ad-Spyware.Stud.A.29]

[ notes ]
packers: UPX
packers: UPX
packers: UPX
packers: UPX

Und hier der Scan von opengl32.exe:

omplete scanning result of "opengl32.exe", processed in VirusTotal at 07/10/2007 11:54:54 (CET).

[ file data ]
* name: opengl32.exe
* size: 89803
* md5.: 90503010c7b415d496947bd6d16b5628
* sha1: afded81ac06c8272cf4f48d962cd391500fc5921

[ scan result ]
AhnLab-V3 2007.7.7.0/20070710 found [Win-Trojan/Bifrose.38400.B]
AntiVir 7.4.0.39/20070710 found [HEUR/Malware]
Authentium 4.93.8/20070709 found [could be infected with an unknown virus]
Avast 4.7.997.0/20070709 found [Win32:Bifrose-IV]
AVG 7.5.0.476/20070709 found [BackDoor.Generic.KKP]
BitDefender 7.2/20070710 found [Backdoor.Bifrose.L.Dam.2]
CAT-QuickHeal 9.00/20070709 found nothing
ClamAV devel-20070416/20070710 found [Trojan.Bifrose-455]
DrWeb 4.33/20070710 found [BackDoor.Bifrost.65]
eSafe 7.0.15.0/20070708 found [Win32.Bifrose.1222]
eTrust-Vet 30.8.3777/20070710 found [Win32/Bifrost!generic]
Ewido 4.0/20070710 found [Backdoor.Bifrost]
F-Prot 4.3.2.48/20070709 found [W32/BifrostX.BHQ]
FileAdvisor 1/20070710 found nothing
Fortinet 2.91.0.0/20070710 found [W32/Small.U!tr]
Ikarus T3.1.1.8/20070710 found [Backdoor.Win32.Bifrose.d]
Kaspersky 4.0.2.24/20070710 found [Backdoor.Win32.Bifrose.agq]
McAfee 5070/20070709 found [BackDoor-CEP]
Microsoft 1.2704/20070710 found [Backdoor:Win32/Bifrose.C]
NOD32v2 2389/20070710 found [Win32/Bifrose.E]
Norman 5.80.02/20070709 found [W32/Bifrose.AFY]
Panda 9.0.0.4/20070710 found [Bck/Bifrose.J]
Sophos 4.19.0/20070706 found [Troj/Bckdr-HEL]
Sunbelt 2.2.907.0/20070707 found nothing
Symantec 10/20070710 found [Backdoor.Bifrose]
TheHacker 6.1.6.144/20070709 found [Backdoor/.Bifrose.d.w]
VBA32 3.12.0.2/20070709 found [BackDoor.Bifrost]
VirusBuster 4.3.23:9/20070709 found nothing
Webwasher-Gateway 6.0.1/20070710 found [Heuristic.Malware]

opengl32.exe scheint mit Themida noch etwas zu tun zu haben. es hat nämlich dasselbe Symbol.

Sieht ja wohl nicht so gut für mich aus bei den ganzen Funden.

Das Programm habe ich leider ebenfalls gelöscht. Ich hatte es von einem Freund von früher, der hat mir hat mir einen Link zu einer arcor.home Seite oder so ähnliche geschickt und von dort habe ich das Programm runtergeladen. Ich habe es aber leider sofort wieder gelöscht.

Ich habe gerad versucht SilentRunners herunterzuladen. Das VBS File habe ich auf den Desktop extrahiert allerdings sagt er mir immer:

"SilentRunners" cannot acess file services critical to proper script operation.

If you are running Window XP make sure that the "Cryptographic Services" service ist started. (Wie mache ich das?)

You can also try reinstalling the latest version of the MS Windows Script Host.

Ich glaube ich halte mich gerade nicht in Mauritius auf.

MFG

Ultron

Franz1968 · 10.07.2007, 11:35

Hallo,
da KarlKarl im Moment nicht online ist, antworte ich dir.
Das SilentRunners-Logfile ist nicht mehr notwendig, da schon der Scan mit Virustotal eindeutig einen Befall mit Bifrose ergeben hat.
Bitte setze daher dein System neu auf und ändere im Anschluss daran alle verwendeten Pass- und Kennwörter.

Ultron · 10.07.2007, 12:35

Danke für die schnelle Hilfe.
Ich werde sofort mein System neu aufsetzen.

MFG

Ultron

Sakura · 11.11.2007, 18:08

Hallo!
Ich habe auch ein Problem mit Themida, allerdings ist meins ein bisschen anders.
Bei mir war das so, dass mir jemand in ICQ (sein Account wurde gehakt) einen Link geschickt hat und dazu geschrieben, dass er endlich den Away Reader gefunden habe, den ich doch so gerne wollte un das er sogar funktioniert usw. Also ging ich drauf (--> =h**p://www.***.de.ki) un wollte es installieren. Weil ich es mit Mozilla gemacht habe, hat der Computer das zum installieren auf den Desktop getan. Also habe ich da drauf geklickt, aber es kam nichts sondern nur das ich eine Demo von Themida habe und eigentlich so das halt was bei Ultron auch war. Ich klickte drauf, aber es kam nichts, nur das das Fenster wieder verschwand. Nach 20 Minuten kam ein Fenster das Themida nun zu Ende sei, weil es sich ja nur um eine Demo handele. Und nun kommt bei mir auch immer wie bei Ultron am Anfang wenn ich den Computer hochfahre 2x das Themida Fenster und nach 20 Minuten das andere Fenster. Das was auf dem Desktop war habe ich sofort gelöscht mit der Hoffnung das Themida weggehen würde. Aber es kommt immer noch.

Wisst ihr vielleicht was ich machen kann?? Oder soll ich auch einfach den ganzen Computer formatieren??

MfG Sakura

Heike · 11.11.2007, 19:17

der link von Sakura ist mit Sicherheit

infiziert,

also, nur diejenigen testen, die wissen was sie tun.

wer so einen komischen Themida-Hinweis hat, ist zu 99% ebenfalls infiziert, womit auch immer, ist dann eh nicht mehr wirklich wichtig.

ordell1234 · 11.11.2007, 19:40

Zitat:

AhnLab-V3 2007.11.10.0 2007.11.09 -
AntiVir 7.6.0.34 2007.11.09 -
Authentium 4.93.8 2007.11.10 -
Avast 4.7.1074.0 2007.11.11 -
AVG 7.5.0.503 2007.11.11 -
BitDefender 7.2 2007.11.11 -
CAT-QuickHeal 9.00 2007.11.10 -
ClamAV 0.91.2 2007.11.11 PUA.Packed.TeLock
DrWeb 4.44.0.09170 2007.11.11 -
eSafe 7.0.15.0 2007.11.08 suspicious Trojan/Worm
eTrust-Vet 31.2.5284 2007.11.09 -
Ewido 4.0 2007.11.11 -
FileAdvisor 1 2007.11.11 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.10 -
F-Secure 6.70.13030.0 2007.11.11 -
Ikarus T3.1.1.12 2007.11.11 Trojan.Win32.Agent.axe
Kaspersky 7.0.0.125 2007.11.11 -
McAfee 5160 2007.11.09 Generic BackDoor.b
Microsoft 1.3007 2007.11.11 -
NOD32v2 2652 2007.11.11 -
Norman 5.80.02 2007.11.09 -
Panda 9.0.0.4 2007.11.11 -
Prevx1 V2 2007.11.11 -
Rising 20.17.62.00 2007.11.11 -
Sophos 4.23.0 2007.11.11 -
Sunbelt 2.2.907.0 2007.11.09 VIPRE.Suspicious
Symantec 10 2007.11.11 -
TheHacker 6.2.9.123 2007.11.10 W32/Behav-Heuristic-066
VBA32 3.12.2.4 2007.11.11 -
VirusBuster 4.3.26:9 2007.11.11 -
Webwasher-Gateway 6.0.1 2007.11.11 Win32.Malware.gen!94 (suspicious)
weitere Informationen
File size: 656807 bytes
MD5: 9fc6c2a856fc7ab3e602350d88aa771c
SHA1: 07b533b48a4a95d042ff8a9ffee37be41c9a7f46
packers: TeLock
packers: PE_Patch, TeLock

Beitrag gemeldet, Danke Heike

ordell1234 · 12.11.2007, 05:14

Die Jungs sind fix, auch am Sonntag:

Zitat:

RE: virus [KLAB-3310214]
cq-away-reader.exe_ - Backdoor.Win32.IRCBot.apf

New malicious software was found in this file. It's detection will be included in the next update.

@Sakura: Dein Schädling ist recht neu, und wie du siehst: die AVPs hängen ordentlich hinterher. Dein System ist im Eimer. Nimm den Laden bitte vom Netz, formatiere und ändere anschließend sämtliche Kennwörter. Warum, Wieso und Wie das alles: Neuaufsetzen des Systems und anschliessende Absicherung! Backdoor-Problematik: klick

Auszüge aus dem Artikel:

Zitat:

Konnte ein Einbrecher über eine Hintertür direkten Zugang zum System erlangen, lässt sich im Nachhinein überhaupt nicht mehr ermitteln, was er da alles angestellt haben könnte.

Zitat:

Die Reinigungsfunktionen von Virenscannern sind bestenfalls zweite Wahl, da sie meist nur die erkannten Dateien entfernen, zusätzliche Hinterlassenschaften wie Registryeinträge oder gar neu eingerichtete Benutzerkonten aber oft übersehen. Eine freihändige Säuberung sollte nur als allerletzter Rettungsanker zum Einsatz kommen. Denn einen eindeutigen Hinweis auf einen Bösewicht zu finden ist eine Sache, all seine Komponenten und deren eventuelle Hinterlassenschaften im System zu lokalisieren eine ganz andere. Ohne eine komplette Analyse des Schadcodes ist das ein schier aussichtsloses Unterfangen.

Jürgen Schmidt, c't 21/06, 02.11.2006 15:27

Tschau

Heike · 12.11.2007, 08:53

Themida - Google-Suche

Dies Themida-Problem ist offenbar gar nicht so selten, Themida wird gerne verwended, um Malware undetected zu machen.

ordell1234, Dein Posting über die Erkennung ist wieder mal ein Beispiel dafür, wie wenig man sich letztlich auf AV-Tools verlassen kann.

Leute, das Gehirn einschalten, gesundes Mißtrauen das Handeln bestimmen lassen und nicht alles anklicken, was nicht schnell genug weg ist, ist der beste Schutz für einen PC.

Hamsar · 01.04.2009, 07:51

Ich weis das das Thema schon uralt ist aber ich möchte trotzdem noch was schreiben:
Wenn so ein fall sein sollte, vom Netzwerk abstecken,
Virenscanner laufen lassen, danach MalwarebytesAnti-Malware
Außerdem empfehle ich noch Spybot - Search & Destroy, bei fragen dazu enifach im ICQ anschreiben. Außerdem wenn ihr verdächtige dateien runterladet,
mal mit Virustotal.comprüfen. Da steht dann auch wenn es mit Themida Protected wurde.

Hoffe ich konnte ein bisschen helfen,
M.f.g.,
Hamsar

P.S.: Schönes Board

Sakura · 01.04.2009, 21:51

Zitat:

Zitat von Hamsar

Außerdem wenn ihr verdächtige dateien runterladet,
mal mit Virustotal.comprüfen. Da steht dann auch wenn es mit Themida Protected wurde.

Hey danke der tipp mit dem virustotal.com ist gut weil wenn ich was runterlade hab ich schon manchmal so meine bedenken ob da nicht ein virus drinnen ist

10.07.2007, 11:35	#4
Franz1968 /// Helfer-Team	Probleme mit Themida Hallo, da KarlKarl im Moment nicht online ist, antworte ich dir. Das SilentRunners-Logfile ist nicht mehr notwendig, da schon der Scan mit Virustotal eindeutig einen Befall mit Bifrose ergeben hat. Bitte setze daher dein System neu auf und ändere im Anschluss daran alle verwendeten Pass- und Kennwörter. __________________ Alle Tipps und Anleitungen ohne Gewähr

Probleme mit Themida

Log-Analyse und Auswertung: Probleme mit Themida