viren automatisch nach neustart gelöscht?

virenhaber · 20.05.2009, 17:54

halloooo.

also folgendes ist geschehen:
ich hab was runtergeladen, dann hat antivir nach dem entpacken festgestellt, dass es 3 viren hat. also es kamen 3 solcher fenster (mit quarantäne, löschen....) aber dann konnte ich nichts mehr machen. dann hab ich den pc mim knopf aus gemacht und wieder an. dann waren auf einmal nirgendwo mehr viren, wie vom erdboden verschluckt!
wurden die jetzt automatisch gelösch kann das sein?
oder sind die irgendwo versteckt jetzt und treiben ihr unwesen?

vielen dank schonmal! =)

*edit: beim suchlauf grade wurden woanders viren gefunden, vorher waen da keine, hilfe!!!

*er name von dem danach gefundenen war: TR/Click.VB.QJ.10

john.doe · 20.05.2009, 18:03

Hallo und

Zitat:

ich hab was runtergeladen

Hast du noch den Link? Dann schicke ihn mir bitte als PN zu.

Klicke auf "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab.

ciao, andreas

p.s.: Ziemlich eindeutiges Ergebnis, falls du einen Steamaccount hast, ändere sofort von einem sauberen Rechner dein Kennwort, am Besten alle Kennwörter.

Code:

ATTFilter

Datei Counter-Strike_Source_Hack.exe empfangen 2009.05.20 19:15:04 (CET)
Status:    Beendet 
Ergebnis: 39/40 (97.5%) 
 Filter 
Drucken der Ergebnisse  Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.0.0.101	2009.05.20	Trojan-Dropper.Win32.VB.sj!IK
AhnLab-V3	5.0.0.2	2009.05.20	Dropper/Xema.1692048
AntiVir	7.9.0.168	2009.05.20	TR/PSW.Steam.R
Antiy-AVL	2.0.3.1	2009.05.20	-
Authentium	5.1.2.4	2009.05.19	W32/VB-EMU:VB-Backdoor-PEK-based!Maximus
Avast	4.8.1335.0	2009.05.19	Win32:Trojan-gen {Other}
AVG	8.5.0.336	2009.05.20	Dropper.Generic_c.AGE
BitDefender	7.2	2009.05.20	Trojan.Generic.1706719
CAT-QuickHeal	10.00	2009.05.20	TrojanDropper.VB.afv
ClamAV	0.94.1	2009.05.20	Trojan.Spy-2494
Comodo	1157	2009.05.08	TrojWare.Win32.Spy.Meats.~A
DrWeb	5.0.0.12182	2009.05.20	BACKDOOR.Trojan
eSafe	7.0.17.0	2009.05.19	Win32.VB.asf
eTrust-Vet	31.6.6513	2009.05.20	Win32/AMalum.V
F-Prot	4.4.4.56	2009.05.19	W32/VB-EMU:VB-Backdoor-PEK-based!Maximus
F-Secure	8.0.14470.0	2009.05.20	Trojan-Dropper.Win32.VB.afv
Fortinet	3.117.0.0	2009.05.20	W32/VB.HF!tr
GData	19	2009.05.20	Trojan.Generic.1706719
Ikarus	T3.1.1.49.0	2009.05.20	Trojan-Dropper.Win32.VB.sj
K7AntiVirus	7.10.739	2009.05.19	Trojan-Dropper.Win32.VB
Kaspersky	7.0.0.125	2009.05.20	Trojan-Dropper.Win32.VB.afv
McAfee	5621	2009.05.20	PWS-Steam
McAfee+Artemis	5621	2009.05.20	PWS-Steam
McAfee-GW-Edition	6.7.6	2009.05.20	Trojan.Click.VB.QJ.10
Microsoft	1.4602	2009.05.20	TrojanDropper:Win32/VB.BA
NOD32	4091	2009.05.20	probably unknown NewHeur_PE
Norman	6.01.05	2009.05.20	W32/VBTroj.HWU
nProtect	2009.1.8.0	2009.05.20	Trojan-Dropper/W32.Agent.1692048
Panda	10.0.0.14	2009.05.19	Trj/Downloader.TOI
PCTools	4.4.2.0	2009.05.20	Trojan.DR.VB.DYNA
Prevx	3.0	2009.05.20	Medium Risk Malware Dropper
Rising	21.30.20.00	2009.05.20	Dropper.Win32.Agent.ymm
Sophos	4.41.0	2009.05.20	Mal/Generic-A
Sunbelt	3.2.1858.2	2009.05.19	Backdoor.Win32.VB.PEK!cobra (v)
Symantec	1.4.4.12	2009.05.20	Trojan.Dropper
TheHacker	6.3.4.1.328	2009.05.20	Trojan/Dropper.VB.afv
TrendMicro	8.950.0.1092	2009.05.20	TROJ_VB.FPU
VBA32	3.12.10.5	2009.05.20	Trojan-PSW.Win32.Delf.bwo
ViRobot	2009.5.20.1743	2009.05.20	Trojan.Win32.VB.1692048.B
VirusBuster	4.6.5.0	2009.05.20	Trojan.DR.VB.DYNA
weitere Informationen
File size: 1692048 bytes
MD5...: 861bc8d9dc2bbe2b2364cdd042223267
SHA1..: 1693e33c651b1cc2aa40e1bed5de2cb111ef5366
SHA256: ea46c0f6565a7006056752128971c6b78bee45971902ae5680147b5f06048146
SHA512: 91c38e11137e70e0bfcc9759c86209d9c7393e1c6ed534457e08830ce4d1433c
fc0605963ef09894b1fcadfff80a687547af5c324b5b495e1f2deec45b1c6f56
ssdeep: 49152:JKG5nUjOFZYeiLxPQ6u4sOEvazaoGleWKK:D5nUEZmLhQ6zsBneA
PEiD..: -
TrID..: File type identification
Win32 Executable Microsoft Visual Basic 6 (62.1%)
Win32 Executable MS Visual C++ (generic) (18.5%)
Win32 EXE Yoda's Crypter (13.0%)
Win32 Executable Generic (4.2%)
Generic Win/DOS Executable (0.9%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1b68
timedatestamp.....: 0x46f2f25e (Thu Sep 20 22:21:18 2007)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x177bc 0x18000 5.83 3577eb05deda9902146f8fa30fb6f699
.data 0x19000 0xff0 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x1a000 0x182eb4 0x183000 7.56 d5012be63f6edc99e45aeb55b0c9ffb8

( 1 imports ) 
> MSVBVM60.DLL: EVENT_SINK_GetIDsOfNames, _CIcos, _adj_fptan, __vbaVarMove, __vbaStrI4, __vbaFreeVar, __vbaAryMove, __vbaLenBstr, __vbaStrVarMove, __vbaFreeVarList, __vbaEnd, _adj_fdiv_m64, EVENT_SINK_Invoke, __vbaRaiseEvent, -, __vbaFreeObjList, -, __vbaGetFxStr4, -, _adj_fprem1, -, __vbaRecAnsiToUni, -, __vbaI2Abs, __vbaCopyBytes, __vbaStrCat, -, __vbaLsetFixstr, __vbaSetSystemError, __vbaRecDestruct, __vbaHresultCheckObj, __vbaVargVarCopy, _adj_fdiv_m32, __vbaAryVar, -, Zombie_GetTypeInfo, __vbaAryDestruct, __vbaLateMemSt, __vbaExitProc, __vbaVarForInit, __vbaStrLike, __vbaOnError, __vbaObjSet, -, _adj_fdiv_m16i, __vbaObjSetAddref, _adj_fdivr_m16i, -, __vbaStrFixstr, __vbaBoolVarNull, _CIsin, -, __vbaErase, -, -, __vbaVargVarMove, -, __vbaChkstk, -, __vbaFileClose, EVENT_SINK_AddRef, -, -, __vbaGenerateBoundsError, __vbaStrCmp, -, __vbaAryConstruct2, __vbaVarTstEq, __vbaPutOwner3, __vbaI2I4, __vbaObjVar, DllFunctionCall, __vbaRedimPreserve, _adj_fpatan, __vbaFixstrConstruct, Zombie_GetTypeInfoCount, __vbaRedim, __vbaRecUniToAnsi, EVENT_SINK_Release, __vbaNew, -, _CIsqrt, EVENT_SINK_QueryInterface, __vbaStrUI1, __vbaExceptHandler, -, -, __vbaStrToUnicode, __vbaInputFile, __vbaPrintFile, _adj_fprem, _adj_fdivr_m64, -, -, -, __vbaFPException, __vbaInStrVar, -, __vbaStrVarVal, __vbaVarCat, -, __vbaLsetFixstrFree, __vbaI2Var, -, -, -, _CIlog, __vbaErrorOverflow, __vbaFileOpen, __vbaInStr, -, __vbaVar2Vec, __vbaNew2, -, __vbaVarLateMemCallLdRf, -, _adj_fdiv_m32i, _adj_fdivr_m32i, -, __vbaStrCopy, -, __vbaFreeStrList, __vbaVarNot, _adj_fdivr_m32, _adj_fdiv_r, -, -, -, __vbaVarTstNe, __vbaVarSetVar, __vbaI4Var, __vbaVarCmpEq, __vbaAryLock, __vbaLateMemCall, -, __vbaStrToAnsi, __vbaVarDup, -, __vbaFpI4, -, __vbaVarCopy, __vbaVarLateMemCallLd, __vbaRecDestructAnsi, __vbaLateMemCallLd, __vbaVarSetObjAddref, _CIatan, __vbaStrMove, __vbaAryCopy, __vbaCastObj, __vbaStrVarCopy, -, __vbaPutFxStr4, _allmul, _CItan, __vbaAryUnlock, __vbaVarForNext, _CIexp, __vbaFreeStr, __vbaFreeObj, -, -

( 0 exports ) 
PDFiD.: -
RDS...: NSRL Reference Data Set
-
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=861bc8d9dc2bbe2b2364cdd042223267' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=861bc8d9dc2bbe2b2364cdd042223267</a>
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=D019EF8B90D4A11DD1F9190A392ECD005C1CB1E6' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=D019EF8B90D4A11DD1F9190A392ECD005C1CB1E6</a>

virenhaber · 20.05.2009, 18:20

und wenn ich mit antivir nichts mehr finde, kann ich dann auch von hier ändern? habe nur einen rechner??
vielen dank nochmal!!!!!!!!!!!

john.doe · 20.05.2009, 18:23

Nein, dann warte lieber bis wir durch sind. Gleich vorneweg: Neuinstallation ist schneller und sicherer als Reinigung. Deine Entscheidung.

ciao, andreas

virenhaber · 20.05.2009, 18:24

oik, vielen dank, werde das system formatieren!!

was meinst du denn mit bis ihr durch seit, was macht ihr noch genau (kenne mich nicht so aus)

john.doe · 20.05.2009, 18:31

Zitat:

werde das system formatieren!!

Gute Entscheidung. :aplaus: http://www.trojaner-board.de/51262-a...sicherung.html

Zitat:

was meinst du denn mit bis ihr durch seit

Die meisten entscheiden sich für Bereinigung, das dauert aber nunmal länger, davon sprach ich. Also Neuinstallieren, SP3 drauf, bei MS vorbeischauen und alle Updates durchführen, dann alle Kennwörter ändern.

Geben deinen Kumpels auch Bescheid, ein gekaperter Account ist ärgerlich.

ciao, andreas

virenhaber · 20.05.2009, 18:35

also dieses programm hatte die funktion Steam passwörter, oder alle passwörter herauszufinden? sie klappen noch, werde gleich nach der formatierung ändern!

vielen dank nochmal, coole seite hier

john.doe · 20.05.2009, 18:38

Schau selbst: ThreatExpert Report: Trojan.DR.VB.DYNA, Trojan-Dropper.Win32.VB.afv, Trojan.Dropper, PWS-Steam..

Er klaut das Kennwort für den Messengeraccount, alle Produktkeys, die greifbar sind und den Steamaccount.

Achte unten auf den Usernamen.

ciao, andreas

p.s.: Da ist nicht zufällig dein Username dabei?

Code:

ATTFilter

L:\Dokumente und Einstellungen\Admin>ftp ftp.extra.hu
Verbindung mit ftp.extra.hu wurde hergestellt.
220 80.77.120.43 FTP server ready
Benutzer (ftp.extra.hu:(none)): waseinidiot
331 Password required for waseinidiot.
Kennwort:
230 User waseinidiot logged in.
ftp> dir
200 PORT command successful
150 Opening ASCII mode data connection for file list
drwxrwxr-x   2 waseinidiot webmaster     4096 May 20 13:21 .
drwxrwxr-x   2 waseinidiot webmaster     4096 May 20 13:21 ..
-rw-rw-rw-   1 waseinidiot webmaster     1877 May 19 00:52 ALEX-65E161CAD2
-rw-rw-rw-   1 waseinidiot webmaster     1865 May 18 14:15 CHRISTIAN
-rw-rw-rw-   1 waseinidiot webmaster     1889 May 20 11:18 HENRY
-rw-rw-rw-   1 waseinidiot webmaster     1872 May 19 16:33 JAY-12-PC
-rw-rw-rw-   1 waseinidiot webmaster     2446 May 19 16:04 KRASNICPAOLO
-rw-rw-rw-   1 waseinidiot webmaster     2162 May 20 13:21 MYCOMPUTER
-rw-rw-rw-   1 waseinidiot webmaster     3328 May 18 13:34 SERVER
-rw-rw-rw-   1 waseinidiot webmaster     2415 May 18 17:00 SHOCKWAVE
-rw-rw-rw-   1 waseinidiot webmaster     2718 May 20 11:49 STOTZEM-PC
-rw-rw-rw-   1 waseinidiot webmaster     2149 May 18 19:17 XX-TIIGHT-XX-PC
226 Transfer complete.
FTP: 64d Bytes empfangen in 0,00Sekunden 835000,00KB/s
ftp>

virenhaber · 20.05.2009, 18:44

also gleich alles ändern! was fürnen usernamen???

john.doe · 20.05.2009, 18:51

Die, die rechts zu sehen sind.

So sieht das übrigens aus (*** von mir):

Code:

ATTFilter

#########################################################
#########################################################
###########      Universal1337 Version 2      ###########
###########                                   ###########
###########             By Eddy-K             ###########
###########                                   ###########
#########################################################
#########################################################
 
 
 
 
/////////////////////////////////////////////////////
////////////           Steam           //////////////
/////////////////////////////////////////////////////
 
==================================================
Account: ***shunte***
Password: ******
==================================================
 
 
 
 
/////////////////////////////////////////////////////
////////////          Internet         //////////////
/////////////////////////////////////////////////////
 
==================================================
Entry Name        : freenet
Phone / Host      : 0101901929
User Name         : ****
Password          : ****
Domain            : 
Owner             : System
User Profile      : chris
==================================================


 
 
 
 
/////////////////////////////////////////////////////
////////////         Messengers        //////////////
/////////////////////////////////////////////////////
 
==================================================
Software          : Windows Live Messenger
Protocol          : MSN Messenger
User              : ***ss.la******h@web.de
Password          : ***195cl
==================================================


 
 
 
 
/////////////////////////////////////////////////////
////////////        Produkt Keys       //////////////
/////////////////////////////////////////////////////
 
==================================================
Product Name      : Microsoft Windows XP
Product ID        : ***75-640-1457236-23***
Product Key       : ***YB-Q73J8-RKPMH-M2WFT-P4***
Computer Name     : SERVER
==================================================

==================================================
Product Name      : Internet Explorer
Product ID        : ***75-640-1457236-23***
Product Key       : ***YB-Q73J8-RKPMH-M2WFT-P4***
Computer Name     : SERVER
==================================================

==================================================
Product Name      : Microsoft Office Professional Edition 2003
Product ID        : ***32-640-0000106-57***
Product Key       : ***28-DGCMP-P6RC4-6J4MT-3H***
Computer Name     : SERVER
==================================================

==================================================
Product Name      : Microsoft Office Professional Plus 2007 (Beta)
Product ID        : ***03-602-0016696-58***
Product Key       : ***FP-TGTKC-2366R-8VJMB-DG***
Computer Name     : SERVER
==================================================

==================================================
Product Name      : Microsoft Office Enterprise 2007
Product ID        : ***88-707-1528066-65***
Product Key       : ***VY-7733B-8WCK9-KTG64-BC***
Computer Name     : SERVER
==================================================

ciao, andreas

virenhaber · 20.05.2009, 18:55

ne, name nicht dabei.
sehr interesasant aber alles! aber mit messenger pws kann er wohl nix anfangen denke ich

wie könnte denn meiner dabei sein? hast du jetzt sozusagen auch passwörter anderer leute durch das programm gesehen?

john.doe · 20.05.2009, 19:00

Zitat:

aber mit messenger pws kann er wohl nix anfangen denke ich

Doch die werden verkauft und dann für Spams missbraucht.

Zitat:

wie könnte denn meiner dabei sein?

Du hast das Programm gestartet, das reicht.

Zitat:

hast du jetzt sozusagen auch passwörter anderer leute durch das programm gesehen?

Ich war so frei mir alle runterzuladen.

Allerdings bin ich ein Hacker der ersten Generation => Hackerethik

ciao, andreas

john.doe · 20.05.2009, 20:49

Nur der Vollständigkeit halber:

1.) Es ging eine Mail an abuse(at)jasmin.hu

2.) Alle, von denen mir die Emailadresse bekannt war, wurden informiert ihre Kennwörter zu ändern.

3.) Da hat doch ein ganz Böser alle Daten gelöscht und einen Gruß hinterlassen.

Code:

ATTFilter

L:\Dokumente und Einstellungen\Admin>ftp ftp.extra.hu
Verbindung mit ftp.extra.hu wurde hergestellt.
220 80.77.120.43 FTP server ready
Benutzer (ftp.extra.hu:(none)): waseinidiot
331 Password required for waseinidiot.
Kennwort:
230 User waseinidiot logged in.
ftp> dir
200 PORT command successful
150 Opening ASCII mode data connection for file list
drwxrwxr-x   2 waseinidiot webmaster     4096 May 20 19:43 .
drwxrwxr-x   2 waseinidiot webmaster     4096 May 20 19:43 ..
-rw-rw-rw-   1 waseinidiot webmaster     1723 May 20 19:38 www.trojaner-board.de

226 Transfer complete.
FTP: 64d Bytes empfangen in 0,05Sekunden 4,50KB/s
ftp>

4.) Die Domain wurde schon gesperrt.

Zitat:

Die Domain "criminal-vb6ers.one-crew.net" wurde gesperrt.

ciao, andreas

p.s.: Du bist entlassen.

virenhaber · 20.05.2009, 23:07

wollte mich erst nochmal recht herzlich bedanken, echt cool das du sowas kannst und geholfen hast

noch wegen interesse: also du konntest rausfinden, wer alles diesen virus empfangen hat und wer ihn konstruiert hat? und du hast das gesperrt, sodass derjeneige da nicht mehr drauf zugreifen kann und keine neuen passwörter mehr bekommt? finde das krass..

schönen gruß

john.doe · 20.05.2009, 23:28

Zitat:

wer alles diesen virus empfangen hat

Ja.

Zitat:

und wer ihn konstruiert hat?

Nein.

Zitat:

und du hast das gesperrt, sodass derjeneige da nicht mehr drauf zugreifen kann

Nein, ich habe versucht das zu veranlassen.

Du schaust jetzt noch mal hier vorbei: http://www.trojaner-board.de/432340-post35.html

Dann klickst du auf die letzten beiden Links in meiner Signatur und lernst alles auswendig. Besonders das hier:

Zitat:

Wie schützt man sich denn dann am besten vor Viren und Würmern?

Die einfache Antwort:

Man klickt nicht auf alles, was nicht bei 3 auf den Bäumen ist und hält seine Software auf dem neuesten Sicherheitsstand.
Ein gesundes Maß an Paranoia ist zu empfehlen, außerdem sollte man Software mit vielen Sicherheitslücken wie Outlook und Internet Explorer erst gar nicht einsetzen.
Software aus dubiosen Quellen wie Freunde, Edonkey, Warez-Seiten sollte man nicht einmal mit der Kneifzange anfassen.
Außerdem sind Email-Anhänge grundsätzlich "bah", auch wenn sie von Freunden kommen.

Sonst bist du spätestens in 2 Wochen wieder hier.

ciao, andreas

viren automatisch nach neustart gelöscht?

Plagegeister aller Art und deren Bekämpfung: viren automatisch nach neustart gelöscht?