Code: Alles auswählenAufklappen

ATTFilter

Datei bhjlxduuwq.exe empfangen 2009.08.05 23:09:55 (UTC)
Status:    Beendet 
Ergebnis: 18/41 (43.91%) 
 Filter 
Drucken der Ergebnisse  Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.5.0.24	2009.08.05	Packed.Win32.Krap!IK
AhnLab-V3	5.0.0.2	2009.08.05	Win-Trojan/Runner.31488
AntiVir	7.9.0.240	2009.08.05	TR/Runner.PX
Antiy-AVL	2.0.3.7	2009.08.05	Trojan/Win32.Runner.gen
Authentium	5.1.2.4	2009.08.05	-
Avast	4.8.1335.0	2009.08.05	Win32:Spyware-gen
AVG	8.5.0.406	2009.08.05	Win32/Cryptor
BitDefender	7.2	2009.08.06	-
CAT-QuickHeal	10.00	2009.08.05	-
ClamAV	0.94.1	2009.08.05	-
Comodo	1879	2009.08.06	-
DrWeb	5.0.0.12182	2009.08.05	-
eSafe	7.0.17.0	2009.08.05	Suspicious File
eTrust-Vet	31.6.6660	2009.08.05	-
F-Prot	4.4.4.56	2009.08.05	-
F-Secure	8.0.14470.0	2009.08.05	-
Fortinet	3.120.0.0	2009.08.05	-
GData	19	2009.08.06	Win32:Spyware-gen 
Ikarus	T3.1.1.64.0	2009.08.05	Packed.Win32.Krap
Jiangmin	11.0.800	2009.08.05	-
K7AntiVirus	7.10.811	2009.08.05	-
Kaspersky	7.0.0.125	2009.08.06	Packed.Win32.Krap.s
McAfee	5699	2009.08.05	-
McAfee+Artemis	5699	2009.08.05	Artemis!5B7AF02CED03
McAfee-GW-Edition	6.8.5	2009.08.06	Trojan.Runner.PX
Microsoft	1.4903	2009.08.04	TrojanSpy:Win32/Bebloh.A
NOD32	4310	2009.08.05	-
Norman	6.01.09	2009.08.05	-
nProtect	2009.1.8.0	2009.08.05	-
Panda	10.0.0.14	2009.08.05	Suspicious file
PCTools	4.4.2.0	2009.08.05	-
Prevx	3.0	2009.08.06	High Risk Cloaked Malware
Rising	21.41.24.00	2009.08.05	-
Sophos	4.44.0	2009.08.05	Mal/EncPk-JO
Sunbelt	3.2.1858.2	2009.08.05	Bulk Trojan
Symantec	1.4.4.12	2009.08.06	-
TheHacker	6.3.4.3.377	2009.08.05	-
TrendMicro	8.950.0.1094	2009.08.05	-
VBA32	3.12.10.9	2009.08.05	-
ViRobot	2009.8.5.1869	2009.08.05	-
VirusBuster	4.6.5.0	2009.08.05	Trojan.Runner.EY
weitere Informationen
File size: 31488 bytes
MD5...: 5b7af02ced03ed2f0cb358a3fb1a248d
SHA1..: 48e6ee56984df873b5dbdafa29486cb2e6a841bd
SHA256: e9e3b84787bae717b8890805e2fac13ccc57c65898179b5d80bfcae2e8e5c90e
ssdeep: 768:6IHp0HsfWxj7d1vHp0QDltlCmBawjLmoIB6ZgksowQsALK:r0MfWdDpT5tAw
3m7M3Ps+K
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ 4.x (85.8%)
Win32 Executable Generic (5.4%)
Win32 Dynamic Link Library (generic) (4.8%)
Win16/32 Executable Delphi generic (1.3%)
Generic Win/DOS Executable (1.2%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x66d8
timedatestamp.....: 0x47d7b1a6 (Wed Mar 12 10:34:14 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5bd8 0x5c00 7.94 85686c5d3b82907422d1341f967e0072
.rdata 0x7000 0x9dd 0xa00 6.55 842c1c66147fe5d01faa4b477fbcd90a
.data 0x8000 0x1d523 0x800 5.81 1cda33900ccdc8fb9a5fe2ffff671813
.reloc 0x26000 0x79e 0x800 6.51 3a7c10e794a4297cfe5ab77c2c90a630

( 2 imports ) 
> KERNEL32.dll: GetModuleHandleA, GetLastError, GetCommandLineA, ExitProcess, GetModuleFileNameA, LoadLibraryA, GetVersion, GetTickCount, GetCurrentThreadId, GetSystemTimeAsFileTime, SetTermsrvAppInstallMode
> MSVCRT.dll: strtoul, _getcwd, memcmp, _splitpath, _wfullpath, realloc, wcsncat, strcpy, fclose, _access, __mb_cur_max, _beginthread, srand

( 0 exports ) 
PDFiD.: -
RDS...: NSRL Reference Data Set
-
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=7826CCBF0080A3257B5100713E9D6B00466A4AF4' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=7826CCBF0080A3257B5100713E9D6B00466A4AF4</a>
packers (Antiy-AVL): Armadillo 1.71
         

Da hast du deinen Passwortstehler:

Code: Alles auswählenAufklappen

ATTFilter

Datei msxm192z.dll empfangen 2009.08.05 23:18:53 (UTC)
Status:    Beendet 
Ergebnis: 15/41 (36.59%) 
 Filter 
Drucken der Ergebnisse  Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.5.0.24	2009.08.05	-
AhnLab-V3	5.0.0.2	2009.08.05	-
AntiVir	7.9.0.240	2009.08.05	TR/Agent.Bongler.B
Antiy-AVL	2.0.3.7	2009.08.05	-
Authentium	5.1.2.4	2009.08.05	W32/Bongler-based!Maximus
Avast	4.8.1335.0	2009.08.05	-
AVG	8.5.0.406	2009.08.05	-
BitDefender	7.2	2009.08.06	-
CAT-QuickHeal	10.00	2009.08.05	-
ClamAV	0.94.1	2009.08.05	-
Comodo	1879	2009.08.06	-
DrWeb	5.0.0.12182	2009.08.06	Trojan.NtRootKit.origin
eSafe	7.0.17.0	2009.08.05	-
eTrust-Vet	31.6.6660	2009.08.05	-
F-Prot	4.4.4.56	2009.08.05	W32/Bongler-based!Maximus
F-Secure	8.0.14470.0	2009.08.05	Trojan-GameThief.Win32.OnLineGames.bmoi
Fortinet	3.120.0.0	2009.08.05	PossibleThreat
GData	19	2009.08.06	-
Ikarus	T3.1.1.64.0	2009.08.05	-
Jiangmin	11.0.800	2009.08.05	-
K7AntiVirus	7.10.811	2009.08.05	-
Kaspersky	7.0.0.125	2009.08.06	Trojan-GameThief.Win32.OnLineGames.bmoi
McAfee	5699	2009.08.05	-
McAfee+Artemis	5699	2009.08.05	Artemis!62367F4BDB91
McAfee-GW-Edition	6.8.5	2009.08.06	Heuristic.LooksLike.Trojan.Agent.Bongler.P
Microsoft	1.4903	2009.08.04	-
NOD32	4310	2009.08.05	-
Norman	6.01.09	2009.08.05	-
nProtect	2009.1.8.0	2009.08.05	Trojan/W32.Agent.28672.WT
Panda	10.0.0.14	2009.08.05	Suspicious file
PCTools	4.4.2.0	2009.08.05	-
Prevx	3.0	2009.08.06	Medium Risk Malware
Rising	21.41.24.00	2009.08.05	-
Sophos	4.44.0	2009.08.05	Mal/Behav-170
Sunbelt	3.2.1858.2	2009.08.05	Bulk Trojan
Symantec	1.4.4.12	2009.08.06	Trojan Horse
TheHacker	6.3.4.3.377	2009.08.05	-
TrendMicro	8.950.0.1094	2009.08.05	-
VBA32	3.12.10.9	2009.08.05	-
ViRobot	2009.8.5.1869	2009.08.05	-
VirusBuster	4.6.5.0	2009.08.05	-
weitere Informationen
File size: 28672 bytes
MD5...: 62367f4bdb91484922fa68e71aa0faf0
SHA1..: fd7a7216637abc19747844bf5a24a2dd450c54c5
SHA256: 13b0e58d943a285ea02aabbede23094e088850535a594e0a802e442221c50d5d
ssdeep: 192:igeTC+SRnvgu+lGXhGc/1L4qIvLHZ6qmbqN11IOHO+kKpOYfyCyd:igeTzSR
noat/1NqLgq1NblkKMYqC
PEiD..: Armadillo v1.xx - v2.xx
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2d5d
timedatestamp.....: 0x4a70f454 (Thu Jul 30 01:16:04 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1e46 0x2000 6.33 50d70248fe66e1358fba153ef4c59b33
.rdata 0x3000 0x53e 0x1000 2.05 719c95acc2d120fa6f852de848b415d6
.data 0x4000 0x297c 0x1000 0.70 bfd86f6a11db6626b01ccfc964d72fdf
.rsrc 0x7000 0x360 0x1000 0.89 fe6ce800a07b99c2dc4d0fbac860a475
.reloc 0x8000 0x20e 0x1000 0.92 9b9074a30d65916f49ae4a3970497892

( 5 imports ) 
> KERNEL32.dll: CloseHandle, GetCurrentProcess, CreateThread, GetSystemInfo, GetTempPathA, Sleep, lstrcmpiA, GetVersionExA, GetModuleHandleA, GetProcAddress, GetModuleFileNameA
> USER32.dll: GetSystemMetrics, CallNextHookEx, DispatchMessageA, TranslateMessage, GetMessageA, SetWindowsHookExA, wsprintfA, CharLowerA
> ADVAPI32.dll: RegOpenKeyExA, AdjustTokenPrivileges, LookupPrivilegeValueA, OpenProcessToken, RegQueryValueExA, RegSetValueExA, RegCreateKeyA, RegCloseKey
> MSVCRT.dll: _initterm, _adjust_fdiv, _stricmp, _splitpath, malloc, free, sprintf, atoi, strchr, strncmp, _except_handler3, strstr
> WS2_32.dll: -, -, -, -, -, -, -, -, -

( 3 exports ) 
AR, GetVer, w
PDFiD.: -
RDS...: NSRL Reference Data Set
-
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=4D6D97FE007C4CB4701C001F166A0F003A76B8B2' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=4D6D97FE007C4CB4701C001F166A0F003A76B8B2</a>
         

Die haben ein gefälschtes Datum, die verstecken sich zwischen den Installationsdateien und sind im Filelisting so gut wie nicht auszumachen. Zudem lässt sich nicht ermitteln, wann genau die Infektion stattgefunden hat.

ciao, andreas

Edit:
Das hier würde ich ganz schnell aus den Favoriten verschwinden lassen:

Zitat:

Verzeichnis von C:\Dokumente und Einstellungen\Addy\Favoriten
14.07.2009 10:58 122 Serials & keys - unlocks the world.URL

diesmal hat panda fertiggescannt (komplett)

weitergeleitet zur zusammenfassung
die war kurz da (mit dem mehr oder weniger lustigen bruce-gesicht)
und dann hat sich firefox verabschiedet =)

die seite mit den ergebnissen krieg ich nicht wiederhergestellt :/

3 1/2 std hat er nun gebraucht

ich hau mich hin, auch ne eule braucht schlaf ;>


p.s. wie krieg ich die leecher nun endgültig vom rechner?
die zeigen sich beide recht reproduktionsfreudig... :S



lg Addy

hab jetzt nochmal versucht panda durchlaufen zu lassen.
Hat komplett gescannt und dann firefox aufgehängt

hab mich bei der seite aber mal registriert
und dass hat sie sich von dem scann gestern nacht noch gemerkt ...
h*tp://img146.imageshack.us/i/pandac.jpg/
damit weiß ich wenigstens dass ich nichts weiß =)

Gruß Addy

der Firefox absturz über den panda scann nach beendigen desselben ist problemlos reproduzierbar...

Das 19 gefunden wurden ist schön und gut, ich brauche aber Namen und Pfade.

Hast du denn zumindest den Pfad, bei dem Panda abstürzt? Dann kopiere den Ordner auf einen externen Datenträger und lösche den Ordner.

Oder teste das Ganze mit dem MSIE, dafür ist er ja zu Gebrauchen.

ciao, andreas

er stürzt erst ab wenn er den scann beendet hat

d.h. 100% -> weiterleitung zur zusammenfassung *bum*

ie werd ich asap ausprobieren

hab heute aber keine 3 1/2 std mehr

Dann halt morgen, bin aber erst abends wieder on.

ciao, andreas

Hat mit dem IE geklappt log ist im anhang.

Jetzt nerft noch svchost.exe

06.08.2009 11:16:39 PM Real-time file system protection file D:\System Volume Information\_restore{0F733ED7-1D20-466F-A3D7-9B6EA3FF2599}\RP98\A0026875.exe a variant of Win32/Injector.TW trojan cleaned by deleting - quarantined NT-AUTORITÄT\SYSTEM Event occurred on a file modified by the application: C:\WINDOWS\system32\svchost.exe.

msxm192z.dll mein toller keylogger

und was diese tracking cookies sind weiß ich nicht - nach nem neustart hab ich diese jedoch nocht mehr gefunden.

Gruß Addy

p.s. Prevx findet nur noch meinen Keylogger (will den aber ohne lizenz aber auch nicht entfernen )

Zitat:

und was diese tracking cookies sind weiß ich nicht - nach nem neustart hab ich diese jedoch nocht mehr gefunden.

Das sind kleine Textdateien, die völlig ungefährlich sind und nur Surfverhalten protokollieren. Simple Datenträgerbereinigung oder entsprechende Browsereinstellungen löschen die automatisch.

Die meisten Funde sind in der Systemwiederherstellung.

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

2.) Deinstalliere Panda Active Scan.

3.) Start => Ausführen => combofix /u => OK

4.) Lade dir ein neues ComboFix auf deinen Desktop.

5.) Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

File::
C:\WINDOWS\system32\msxm192z.dll
C:\WINDOWS\system32\RENA699.tmp
c:\windows\system32\zllictbl.dat
c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
D:\Aufräumen plx\Desktop2\CryptLoad_1.0.4\plugins\rapidbolt.com.dll
D:\Aufräumen plx\Desktop2\CryptLoad_1.0.4\plugins\rs.dr.ag.0.dll  
D:\Basics\Programme\CryptLoad_1.1.4\ocr\rapidshare.com\asmCaptcha\test.exe
D:\Basics\Programme\CryptLoad_1.1.4\ocr\netload.in\asmCaptcha\test.exe
C:\Dokumente und Einstellungen\Addy\Desktop\avenger.zip
C:\Dokumente und Einstellungen\Addy\Desktop\avenger\avenger.exe
c:\avenger.txt

Folder::
c:\avenger
C:\rsit
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

• Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Hier das log

Das Cofi gerne meinem mail programm auf den zeiger geht und auch sonst viel löscht habe ich ja bereits gemerkt ;>

aber ist es normal dass das programm die anzeige der dateierweiterungen deaktiviert? !
(hat es ja bisher nicht gemacht + !kann ich gar nicht leiden! )


Grüßle Addy

Tja, da musst du nun durch. Mir gefällt das auch nicht. Da sind neue Einträge aufgetaucht. Hast du irgendetwas installiert?

1.) Deinstalliere:

• PrevxCSI
• Panda Online Scan

2.) Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

File::
c:\windows\system32\drivers\cvldiuhr.sys

Driver::
XVU
VGUKHFYH
evwekv

Registry::
[-HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Windows Search.lnk]
[-HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
[-HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Erinnerungen in Microsoft Works-Kalender.lnk]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-

Folder::
c:\dokume~1\Addy\LOKALE~1\Temp
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

• Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Ich habe heute lediglich Bilder ausgemistet und einen großteil gelöscht.

Das einzige was ich heute mit ausführbarem code installiert bzw deinstalliert habe war ein animierter bildschirmschoner.
Dessen überreste sind allerdings bereits im virtuellen nirvana verschwunden

(abgesehen von deinen anweisungen ;>)


Gruß Addy


p.s. Habe die wichtigsten einstellungen (dateiendungen, versteckte dateien, systemordner anzeigen) wiederhergestellt

wurde diesesmal auch nichts wieder verändert
(zumindest dass was ich überprüft habe)

Nachtrag

Ich lass den rechner seitdem das passwort flöten gegangen ist "unangetastet".

Wenn überhaupt merze ich alten kram aus =)
Deinstalliere überflüssiges
"Uniblue und Stardock gelumpe"

hatte genug damit zu tun von nem sauberen system aus sämtliche passwörter zu verändern
Infektionsdatum nicht bestimmbar - beschde !
is aber zum glück nichts weiter weggekommen und geändert hab ich nun auch alle ;>


ergo nein installiert wurde nichts aber deinstalliert :>


Addy

Zitat:

Deinstalliere überflüssiges "Uniblue und Stardock gelumpe"

Jede Wette, der Rechner ist jetzt deutlich schneller.

Zitat:

Infektionsdatum nicht bestimmbar - beschde !

Spielt eh keine Rolle, die arbeiten mit gefälschten Daten, ein Filelisting ist nutzlos.

Zitat:

ergo nein installiert wurde nichts aber deinstalliert

OK, das erklärt dann einiges.

Ich brauche nochmal frische RSIT-Logs, damit ich auf dem laufenden bin.

ciao, andreas

Sagt dir "AdvertisingCenter" etwas?

War in meiner software liste und wurde schon gelöscht.
Allerdings hab ich das (bewusst) nie installiert ...

Rsit logs im anhang