Zitat:

Zitat von Kos

Hi handball10

Jepp, und wenn man sich die Zeiten anschaut, scheint java.exe der "Ausgangspunkt" zu sein.

Wenn ich mein gedächtnis aktiviere dann habe ich ein javaupdate gemacht, ja stimmt ! aber der ausgang allen übels ist eine software gewesen bei der ich selber die setup exe gestartet habe... ich bins also selber schuld, habe den ordner mit der software auch noch hier... kann davon gern etwas irgenwo hin schicken, bin mir sehr sicher, dass es damit etwas zu tun hat... das java update war kurz davor ... nicht, dass der schein uns hier trügt...
danke !:

Die java.exe müsste sauber sein.

Bishher hab ich fast auf allen Logs hier diese drei Java-Deiten gesehen.
Bei mir existieren sie auch und sind digital signiert.

Wenn man sich das RSIT-Log anguckt, ist da noch viel mehr schädliches...

Code: Alles auswählenAufklappen

ATTFilter

"C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\60325cahp25cas.exe"="C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\60325cahp25cas.exe:*:Enabled:Enabled"
         

Code: Alles auswählenAufklappen

ATTFilter

C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\60325cahp25cas.exe
         

Bitte auf Virustotal auswerten lassen.

Die Mountpoint-Einträge stammen meiner Meinung nach von einem Autorun-Wurm...

Punkte (also ".") kann man nicht als Dateinamen verwenden.
@chris:
Mache bitte mal alle Verstekcten Ordner sichtbar und suche erneut manuell nach der Datei oder gib bei Virustotal direkt den Pfad ein.

Der eigentliche Pfad müsste so aussehen:

Code: Alles auswählenAufklappen

ATTFilter

X:\recycled\info.exe
         

Für X den Laufwerksbuchstaben ersetzen.

Gruß
Handball10

Zitat:

Zitat von Kos

Es ist nicht nur D



Es scheint überall zu sein...

Also ich bin ja überhauptkein experte... aber ich habe seid bestimmt 3 wochen einen virus,der sich auf alle wechselmedien setzt... das ding bringt immer das laufwerk zum rattern ist wohl auch ein bekannterer kollege... der hat aber nicht weiter gestört, immer wenn ich den löschen wollte war er wieder da ! den will ich natürlich auch weg haben, aber zum absturz meines systems hat der nicht beigetragen...behaupt ich mal ! irtum vorbehalten...

ok, dann lade auch die setup.exe bei VirusTotal hoch, mal sehen was das ist.

Edit: ich übergebe mal alles Weitere an handball10, sonst sind hier zu viele Köche am Werke

Zitat:

Zitat von Kos

ok, dann lade auch die setup.exe bei VirusTotal hoch, mal sehen was das ist.

Edit: ich übergebe mal alles Weitere an handball10, sonst sind hier zu viele Köche am Werke

alles klar das mache ich, vielen dank für deine hilfe

Zitat:

Zitat von Kos

Edit: ich übergebe mal alles Weitere an handball10, sonst sind hier zu viele Köche am Werke

Danke, Bin leider für heute relativ verplant (Geburtstag, Training etc)
Ich übernehme gerne, aber dann würde es für den TO ein bisschen länger dauern (naja, er hat ja noch zu tun )

@chris
alle Ergebnisse von Virustotal als Link posten und anschließen Malwarebytes AntiMalware scannen.

Logfile bitte auch posten.

Allgemein jedoch, würde ich mir nicht allzugroße Hoffnung machen, da hier einiges am werkeln ist.

Gruß
Handball10

Hallo handball 10,
kann leider auch bei einlendung aller dateien das nicht finden, je nachdem in welchem log ihr das jetzt gefunden hattet, vielleicht ist es durch das benutzen der programme CCleaner usw... schon weggesperrt worden, es kann sein, dass ich heute nacht die reihenfolge der anwendungen falsch gemacht habe und daher das noch in einem der logs angezeigt wird... ich weiß auch nicht ... die anderen dateien hab ich gefunden und sende die ketzt zu virustotal...
lg

kann ich die dateien in einem zip ordner hochladen bei virustotal oder nur einzeln ?
kannst du mir sagen wenn du zum training gehst :-) ich sitz hier nämlich und aktualisiere alle 1,5 sekunden :-) many thanks

Zitat:

kann ich die dateien in einem zip ordner hochladen bei virustotal oder nur einzeln ?
kannst du mir sagen wenn du zum training gehst :-) ich sitz hier nämlich und aktualisiere alle 1,5 sekunden :-) many thanks

Bin in 20 Minuten weg - Bis heute Abend.

Zu den Dateien:
Das Beste (auch wen n es langwierig ist) alle einzeln hochzuladen.

Zitat:

das benutzen der programme CCleaner usw... schon weggesperrt worden

Welche Programme hast du denn alles verwendet?

Gruß
Handball10

Zitat:

Zitat von handball10

Bin in 20 Minuten weg - Bis heute Abend.

Zu den Dateien:
Das Beste (auch wen n es langwierig ist) alle einzeln hochzuladen.



Welche Programme hast du denn alles verwendet?

Gruß
Handball10

ich hab erst CCleaner dann den mbam und dann rsit, so wie in der boardanleitung benutzt sonst war da keine andere software dran ...
soll ich alle infos die mir von virustotal gezeigt werden hier in form von logfilecodes einbinden ? mach ich gern !

Zitat:

...dann den mbam

Poste bitte das Logfile.

Zitat:

soll ich alle infos die mir von virustotal gezeigt werden hier in form von logfilecodes einbinden

jap

Gruß
Handball10

also ein richtiges logfile bekomme ich da nicht, habe die ganzen infos die aufgezeigt werden per copy and paste genommen, hoffe das ist richtig, wenn nicht bitte nochmal erklären wie ich an ein richtiges logfile komme... damit ich es bei den vielen anderen daten richtig mache
lg

Code: Alles auswählenAufklappen

ATTFilter

 Datei 223.tmp empfangen 2009.09.22 12:54:17 (UTC)

	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.5.0.24	2009.09.22	-
AhnLab-V3	5.0.0.2	2009.09.22	-
AntiVir	7.9.1.23	2009.09.22	-
Antiy-AVL	2.0.3.7	2009.09.22	-
Authentium	5.1.2.4	2009.09.21	-
Avast	4.8.1351.0	2009.09.21	-
AVG	8.5.0.412	2009.09.22	-
BitDefender	7.2	2009.09.22	-
CAT-QuickHeal	10.00	2009.09.22	-
ClamAV	0.94.1	2009.09.22	-
Comodo	2402	2009.09.22	-
DrWeb	5.0.0.12182	2009.09.22	-
eSafe	7.0.17.0	2009.09.21	-
eTrust-Vet	31.6.6753	2009.09.22	-
F-Prot	4.5.1.85	2009.09.21	-
F-Secure	8.0.14470.0	2009.09.22	-
Fortinet	3.120.0.0	2009.09.22	-
GData	19	2009.09.22	-
Ikarus	T3.1.1.72.0	2009.09.22	-
Jiangmin	11.0.800	2009.09.22	-
K7AntiVirus	7.10.851	2009.09.22	-
Kaspersky	7.0.0.125	2009.09.22	-
McAfee	5748	2009.09.21	-
McAfee+Artemis	5748	2009.09.21	-
McAfee-GW-Edition	6.8.5	2009.09.22	-
Microsoft	1.5005	2009.09.22	-
NOD32	4447	2009.09.22	-
Norman	6.01.09	2009.09.22	-
nProtect	2009.1.8.0	2009.09.22	-
Panda	10.0.2.2	2009.09.22	-
PCTools	4.4.2.0	2009.09.22	-
Prevx	3.0	2009.09.22	-
Rising	21.48.13.00	2009.09.22	-
Sophos	4.45.0	2009.09.22	-
Sunbelt	3.2.1858.2	2009.09.22	-
Symantec	1.4.4.12	2009.09.22	-
TheHacker	6.5.0.2.014	2009.09.21	-
TrendMicro	8.950.0.1094	2009.09.22	-
VBA32	3.12.10.10	2009.09.21	-
ViRobot	2009.9.22.1948	2009.09.22	-
VirusBuster	4.6.5.0	2009.09.21	-
weitere Informationen
File size: 224 bytes
MD5...: 88d3b920193be4b624b827319f29af65
SHA1..: 7b7cd4ca35edf30a85dab44093012dbf2336dcd7
SHA256: 7b6e9f635f78ff786d6472e3b82b9ac19ea480e79cb88a168cdd344ce7e4da0a
ssdeep: 6:KM2931VnS29OaTnPL3zTSfJO0a9epX1cbn:Kh9vL9Oa3PWA02epX1Yn
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Unknown!
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
         

Zitat:

also ein richtiges logfile bekomme ich da nicht

Ich meine das Logfile von MalwareBytes

Wie du die VT-Ergebnisse postets ists richtig :

Lass anschließend dem gescanne GMER laufen.

Auch dieses Logfile bitte posten.
So, ich muss jetzt weg

Viel Erfolg noch

Gruß
Handball10

das is bei der datei 225.tmp herraus gekommen, komisch das da was von malw_13.ex_ steht als name ???? es wurde mir geschrieben,dass die datei bereits gestern hochgeladen wurde... :-) aber nicht von mir ! so dann ma weiter ...
[code]
Datei malw_13.ex_ empfangen 2009.09.21 17:30:41 (UTC)
Status: Beendet
Ergebnis: 21/41 (51.22%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.09.21 Win32.Virtob!IK
AhnLab-V3 5.0.0.2 2009.09.21 -
AntiVir 7.9.1.23 2009.09.21 TR/Agent.ANOC.6
Antiy-AVL 2.0.3.7 2009.09.21 Trojan/Win32.Rabbit.gen
Authentium 5.1.2.4 2009.09.21 -
Avast 4.8.1351.0 2009.09.20 Win32:Trojan-gen {Other}
AVG 8.5.0.412 2009.09.21 -
BitDefender 7.2 2009.09.21 Trojan.Agent.ANOC
CAT-QuickHeal 10.00 2009.09.21 -
ClamAV 0.94.1 2009.09.21 -
Comodo 2393 2009.09.21 -
DrWeb 5.0.0.12182 2009.09.21 Trojan.DownLoad.41506
eSafe 7.0.17.0 2009.09.21 -
eTrust-Vet 31.6.6750 2009.09.21 -
F-Prot 4.5.1.85 2009.09.21 -
F-Secure 8.0.14470.0 2009.09.21 Trojan.Win32.Rabbit.aau
Fortinet 3.120.0.0 2009.09.21 W32/FakeAlert.ID!tr
GData 19 2009.09.21 Trojan.Agent.ANOC
Ikarus T3.1.1.72.0 2009.09.21 Win32.Virtob
Jiangmin 11.0.800 2009.09.21 Trojan/Rabbit.fa
K7AntiVirus 7.10.850 2009.09.21 -
Kaspersky 7.0.0.125 2009.09.21 Trojan.Win32.Rabbit.aau
McAfee 5748 2009.09.21 FakeAlert-ID
McAfee+Artemis 5748 2009.09.21 FakeAlert-ID
McAfee-GW-Edition 6.8.5 2009.09.21 Trojan.Agent.ANOC.6
Microsoft 1.5005 2009.09.21 Trojan:Win32/Malagent
NOD32 4444 2009.09.21 -
Norman 6.01.09 2009.09.21 W32/Renos.AAVE
nProtect 2009.1.8.0 2009.09.21 -
Panda 10.0.2.2 2009.09.21 Suspicious file
PCTools 4.4.2.0 2009.09.20 -
Prevx 3.0 2009.09.21 High Risk Cloaked Malware
Rising 21.48.04.00 2009.09.21 -
Sophos 4.45.0 2009.09.21 -
Sunbelt 3.2.1858.2 2009.09.20 -
Symantec 1.4.4.12 2009.09.21 Trojan.Pandex
TheHacker 6.5.0.2.014 2009.09.21 -
TrendMicro 8.950.0.1094 2009.09.21 TROJ_RABBIT.AF
VBA32 3.12.10.10 2009.09.20 -
ViRobot 2009.9.21.1945 2009.09.21 -
VirusBuster 4.6.5.0 2009.09.21 -
weitere Informationen
File size: 27176 bytes
MD5 : ce0fdab7e7dfa4e34fd496384bb3806a
SHA1 : d804f9865319626ceacbd8fe6c2e7fac3835d71e
SHA256: c2f3ed6e4a4eaa80f407b3942b5718806932377b90aab606a56306b21e44d971
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x31D
timedatestamp.....: 0x4AAF9A5C (Tue Sep 15 15:45:00 2009)
machinetype.......: 0x14C (Intel I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x300 0x192 0x200 4.78 65540954153469f20b3e8570a7357b8b
.rdata 0x500 0xD6 0x100 3.54 53f5fdffc6b334ac92956c843fd00559
.data 0x600 0x33 0x100 1.24 d11b166fccd6174ba1596f188114ce61
.rsrc 0x700 0x538 0x600 3.01 f006f427dd9672a6d8b0aa8b23e396ea
.hehe 0xD00 0x5E00 0x5E00 7.70 ff224e433807bd5a403444278178bd31

( 1 imports )

> kernel32.dll: ExitProcess, GetModuleHandleA, GetProcAddress, LoadLibraryA, Sleep, VirtualAlloc

( 0 exports )
TrID : File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ssdeep: 384:wVWy+lJ07y7wx6UawOA7JILhTiVlqjat6FHrjN13nyEfx9EH43f2ABGoYXX:6Wgxx6Twd7JMWVlatj/31fx9EYNBGTXX
Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=86D67DE3282014D66AB400D6BD73A8002CC9F1B2
PEiD : -
RDS : NSRL Reference Data Set

so bei 226.tmp wird mir nur das hier angezeigt...
"0 bytes size received / Se ha recibido un archivo vacio"