Trojaner der von Virenscannern nicht erfasst wird

Dr.ToTo · 20.01.2009, 17:12

Hallo, ich hab hier ein gewaltiges Problem.
Gestern wurde der ICQ Account einer Freundin von mir gehackt, und über den eine "Fotoalbum.exe" an ziemlich jeden versendet der in der Liste war. Ich hab so ziemlich alles durchversucht an der Datei, aber mein Bitdefender schlägt nicht an. Ich hab sie auch ausgeführt, und nun kommt nach jedem eingloggen in Vista die Meldung, dass eine win32x ausgeführt werden will. Unter Linux hab ich die Datei auch versucht zu öffnen, aber es wird kein Verzeichnis auf die Platte geschrieben, das hat mir also wenig geholfen. Ich habe auch den HiJack Log von der Freundin durchgeschaut, aber es war kein auffälliger Prozess dabei, nur die normalen Dienste und mir bekannte Programme.
Ich weiß nicht was ich für einen Typen Trojaner hab und wie ich ihn wegkriege, ich hoffe dass mir hier jemand weiterhelfen kann, die Datei habe ich auch noch falls das weiterhelfen kann.

Mit freundlichen Grüßen
ToTo

Mr.Vain · 20.01.2009, 17:23

Lade die Datei mal bei VirusTotal - Free Online Virus and Malware Scan
hoch und lass sie auswerten.

Eminemstyle · 20.01.2009, 17:29

Bitte den ganzen Log posten.

Dass du die Datei bei dir ausgeführt hast war Selbstmord fpr dein System! Das war klar dass die Datei die bei Vista sich installiert sich nicht bei Linux installiert.

Dr.ToTo · 20.01.2009, 17:43

Hier der Log von VirusTotal

weitere Informationen
File size: 209975 bytes
MD5...: 91138f218f00a6b611a5383e7d9154e3
SHA1..: a579ee031d43fab36065a3b861b387ffe46da864
SHA256: 936944e83ba317ced9672ad675bcde96ca672ff0ca9dd2830931c797b184737d
SHA512: 8bdc4e68960462cf6820e85e4f2f5882dd551fe3c899187f249c90a4c31eade8
4daa9dfa1e4b9df2ccb23502878e8499691131d2c79e6994de5564d6db707ddf
ssdeep: 3072:YsafmGdRCtPwbIG0oWgm5QB3K9WH2xmNOEHZt88FCXEpy5dFmPa7Yd:Y1uG
dWKISmSByWWxms4S88UpKmPa7k
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40139f
timedatestamp.....: 0x496fa111 (Thu Jan 15 20:48:17 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x7000 0x6e00 6.60 a8028fe9a070eeb8b2dddc5d3fe96c71
.tr1p0d 0x8000 0x6000 0x5c00 5.58 cf640c4e487a1da9bc3bb28182479770
.rsrc 0xe000 0x21000 0x26637 6.97 cff34985b8c4b2dbddec3b51fe0323cd

( 1 imports )
> KERNEL32.dll: CreateFileA, lstrcatA, CloseHandle, LoadLibraryA, GetModuleFileNameA, GetModuleHandleA, ContinueDebugEvent, IsDebuggerPresent, WaitForDebugEvent, lstrlenA, FreeLibrary, GetTempPathA, CheckRemoteDebuggerPresent, GetCurrentProcess, WriteFile, CreateProcessA, GetProcAddress, GetCommandLineA, HeapFree, GetVersionExA, HeapAlloc, GetProcessHeap, GetStartupInfoA, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, GetLastError, RaiseException, ExitProcess, GetStdHandle, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, SetHandleCount, GetFileType, DeleteCriticalSection, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, SetLastError, GetCurrentThreadId, InterlockedDecrement, HeapDestroy, HeapCreate, VirtualFree, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, LeaveCriticalSection, EnterCriticalSection, VirtualAlloc, HeapReAlloc, Sleep, HeapSize, InitializeCriticalSection, GetCPInfo, GetACP, GetOEMCP, IsValidCodePage, RtlUnwind, MultiByteToWideChar, GetLocaleInfoA, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW

( 0 exports )
packers (Kaspersky): PE_Patch.UPX, UPX

Hier nochmal der HijackThis Log, vielleicht hab ich was übersehen...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:06:47, on 19.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
D:\load\SMSTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
D:\load\Picasa2\PicasaMediaDetector.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Java\jre1.6.0_05\bin\jucheck.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Apple Software Update\SoftwareUpdate.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=%s
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SMSTray] D:\load\SMSTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Picasa Media Detector] D:\load\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe

Eminemstyle · 20.01.2009, 19:28

Der Scan von Virustotal ist nicht vollständig poste bitte alles mit den einzelnen Befunden der einzelnen Virenscannern.

**Sunny** · 20.01.2009, 19:38

Zitat:

Zitat von Eminemstyle

Der Scan von Virustotal ist nicht vollständig poste bitte alles mit den einzelnen Befunden der einzelnen Virenscannern.

Man könnte auch mal anhand des HASH's suchen..

Virustotal. MD5: 91138f218f00a6b611a5383e7d9154e3

Eminemstyle · 20.01.2009, 19:40

Jap okay nächstes Mal werd ich suchen

Dr.ToTo · 21.01.2009, 17:06

Ich komm immer noch nicht weiter, inzwischen hat der Kerl den zweiten ICQ account einkassiert und ich weiß noch nichtmal was es ist... Der Rootkit Scan beim nächsten Opfer hat nichts gebracht und der HijackThis Log bringt auch nichts, nur ein Hintergrund mit 1337 Crew hab ich als anhaltspunkt... Und Antivir wurde deaktiviert, also wahrscheinlich ein zugriff von außen... Aber ich komm nicht mehr weiter, weil ich nicht weiß was das überhaupt ist was ich suche...

Mr.Vain · 21.01.2009, 17:15

Zitat:

Zitat von Dr.ToTo

, nur ein Hintergrund mit 1337 Crew hab ich als anhaltspunkt...

Leet-Crew? Kenne dieses Hacker-Board. Üble Typen sind das.
Dann ist dein System kompromittiert

Mir denen ist nicht zu spaßen.
Hast sicherlich einen RAT drauf...
Neuaufsetzen.

Trojaner der von Virenscannern nicht erfasst wird

Plagegeister aller Art und deren Bekämpfung: Trojaner der von Virenscannern nicht erfasst wird