Hi,

Mir wurde grade ein Link zu einem Video von dem gehackten Skype-Account eines Kumpels geschickt. Wusste natürlich nicht dass er gehackt ist, habe es aber grade amTelefon erfahren. Hier das besagte Video:

h**p://pokervideos.nu/play_vid_88

Dort stand dann mein Flashplayer sei nicht aktuell. Ich habe dann den Link zum Updaten angeklickt und mir eine Datei Namens adobe_installer.exe runtergeladen. Diese scannte ich dann mit meinem Norton Internet Security und nachdem kein Virus gefunden wurde habe ich die Datei geöffnet. Es kam aber kein Installationsbildschirm oder ähnliches. Beim aktualisieren der Seite lief das Video dann aber.

Nachdem ich von dem gehackten Account erfahren habe, habe ich die Datei bei Virustotal hochgeladen.


http://www.virustotal.com/de/analisis/fa58ac61612ff1df05b354ff56a6e7ee18068dfd89746afe5127bfeb83cedbc5-1257426122


Mein Firefox hat sich auch gerade beim erstellen dieses Posts von selbst geschlossen ohne meine Tabs zu speichern oder irgendeine Fehlermeldung zu bringen.
Was soll ich jetzt machen? Lasse grade einen kompletten Systemscan durchführen, was aber evtl wenig bringen wird, da Norton Internet Security bei der Datei selber auch keinen Virus gefunden hat.

Danach lass ich noch CCCleaner, Malewarebyte-Anti-Malware und RSIT laufen und update dann nochmal meinen Post.



Danke schonmal für eure Zeit und Hilfe!

MfG Tinytim

Die Datei adobe_installer.exe hat mittlerweile irgendwie einen anderen Namen und heißt jetz dotnetfx32.exe

Außerdem ist grade eben ein Bildschirm aufgegangen wo versucht wurde diese Datei zu öffnen, ich habe dann auf abbrechen geklickt. ich habe allerdings nicht versucht diese Datei zu öffnen.

Hat da vielleicht irgendwer Zugriff auf meinen PC?


Scan von Norton läuft noch. Poste dann update.

Virustotal. MD5: c3f4cb82cd022dbd2c45039cca43c8c5 Heuristic.BehavesLike.Win32.Trojan.H VirTool:Win32/DelfInject.gen!AC Virus.Win32.Delf!IK

Ich denke mal einen Fehlalarm kann man ausschließen.
Beim letzten Scan von dir fanden den nur 7 nun finden den neun.

Die Datei hat sich mittlerweile wieder in adobe_installer umbenannt.

Anstatt 150 kb wie beim herunterladen ist sie nun aber 1917 kb groß und mein Windows Explorer zeigt mir auch an dass sie um 15:11 zum letzten mal geändert wurde.
Kann sie allerdings nicht nochmal bei virustotal hochladen, da es mir anzeigt sie wurde bereits hochgeladen.

Führe grade Scan mit Malewarebytes-Anti-Malware aus. Während ich kurz vom PC weg war wurde scheinbar auch versucht den Scan abzubrechen.

CCleaner hab ich auch ausgeführt. Eine infizierte Datei wurde schon gefunden. Poste dann Scanbericht wenn der Scan fertig ist

Hast du die Datei sicher NICHT ausgeführt gehabt?

doch ich habe sie ausgeführt, da ich da noch nicht wusste, dass der Skype-Account von meinem Kumpel gehackt ist. Hab sie vorher mit Norton Internetsecurity gescannt und nachdem das nichts gefunden hatte ausgeführt

Steht aber auch so im Ausgangspost

Da hab ich wohl was falsch verstanden, i'm truly sorry.

Führe den Scan mit Malwarebytes zu ende und poste anbei das Logfile.

Ich hätte noch gerne eine RSIT Logfile von dir um genauer zu sehen was mit deinem System los ist.

Bitte heir her als Anhang, gepostet wirds sonst zu groß.

Hier schonmal das Malewarebyte Logfile

Gut, alles entfernen, dann bitte RSIT Logfile.

Danach lässt du bitte GMER das System durchschauen.
Gmer Anleitung findest du hier: http://www.trojaner-board.de/74908-a...t-scanner.html

Hier die RSIT Logfiles

Und hier noch die Ergebnisse von dem GMER-Scan

Kann selber leider recht wenig damit anfangen, genauso wie mit dem RSIT-Log

Wie geht es deinem PC nun?

Ich würde vorschlagen wir schieben noch ne ganze Palette Scans hinterher.

Fangen wir mal an mit Superantispyware, dieses hast du wie ich RSIT sah schon installiert.
Lass SUPERAntiSpyware durchlaufen, danach das entstandene Logfile hier her.

Danke schonmal für deine Hilfe!

Seitdem hab ich nix verdächtiges oder komisches mehr an meinem PC bemerkt.

die von mir heruntergeladene und geöffnete Datei adobe_installer.exe hatte sich ja kurzzeitig in dotnetfx32.exe umbenannt.
Habe in dem selben Ordner grade auch eine Datei Namens dotnetfx32.exe gesehen, jedoch ist diese laut Explorer zuletzt vor ca. 2 Jahren geändert worden.
Also scheinbar hat sich die von mir heruntergeladene Datei kurzzeitig in eine andere Datei aus dem selben Ordner umbenannt.

Habe grade die Datei adobe_installer nochmal bei virustotal hochgeladen. Dort heißt sie komischerweise install_flash_player_ax.exe . Habe im selben Ordner auch eine Datei mit diesem Namen mit ähnlicher Größe ( wurde jedoch laut windows explorer zuletzt vor 8 monaten geändert) . Diese habe ich dann auch einmal auf virustotal geladen.

install_flash_player_ax.exe : Größe 1835 KB
adobe_installer.exe: Größe 1917 KB


adobe_installer (Name in WindowsExplorer) auf virustotal:

Virustotal. MD5: 651328afc874d1035d6a1d1151367c7a


install_flash_player_ax.exe (Name in Windows Explorer) bei virustotal:

Virustotal. MD5: 51f26c0051e97a91145971fe5bc632ff Trojan/Dropper.Js.any


Scan mit SUPERAntiSpyware läuft grade. Kann man aus den Logs schon irgendwas verdächtiges sehen?

Hoffe ich hab das verständlich geschrieben. hört sich glaub ich etwas verwirrend an mit den Dateien.

Ich habe die Datei mal verschickt. Sodass man näheres anschauen kann daraus.

Gmer sagt nichts unaufälliges, warten wir mal SUPERAntiSpyware Log ab, Malwarebytes fand ja immerhin einen Trojan.Agent. Dieser wurde aber gelöscht.

Warten wirs mal ab.

Superantispyware hat paar Sachen gefunden. Aber die werden schon länger angezeigt. Die Programme sind aber in Ordnung (haben aber Funktionsweisen eines Trojaners)



SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 11/05/2009 at 07:55 PM

Application Version : 4.29.1004

Core Rules Database Version : 4233
Trace Rules Database Version: 2129

Scan type : Complete Scan
Total Scan Time : 00:46:15

Memory items scanned : 628
Memory threats detected : 0
Registry items scanned : 5382
Registry threats detected : 1
File items scanned : 90465
File threats detected : 5

Adware.IWinGames
HKU\S-1-5-21-796845957-688789844-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8CA5ED52-F3FB-4414-A105-2E3491156990}

Adware.Casino Games (Golden Palace Casino)
C:\POKER\TITAN POKER\CASINO.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\DESKTOPTITANPOKER.LNK
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\STARTMENü\PROGRAMME\TITAN POKER\TITAN POKER.LNK
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\STARTMENü\TITAN POKER.LNK
C:\DOKUMENTE UND EINSTELLUNGEN\STEVE\ANWENDUNGSDATEN\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\TITAN POKER.LNK