Suurch/fraudrop/packed.win32.krap Infected

cosinus · 31.08.2010, 08:31

Ein paar Überreste.

Zitat:

C:\WINDOWS\SYSWOW64\FHRKT.DLL

Hast Du diese Datei noch? Wenn ja, bitte bei Virustotal.com auswerten lassen.

holyraider · 31.08.2010, 09:47

hatte sie noch in der quarantäne.. hier der virustotal log:

"Antivirus", "Version", "Last update", "Result"
"AhnLab-V3", "2010.08.31.00", "2010.08.31", "-"
"AntiVir", "8.2.4.46", "2010.08.31", "TR/Downloader.Gen"
"Antiy-AVL", "2.0.3.7", "2010.08.30", "-"
"Authentium", "5.2.0.5", "2010.08.31", "W32/Spyware-WebActiveClick-based!Maximus"
"Avast", "4.8.1351.0", "2010.08.30", "Win32:Ertfor"
"Avast5", "5.0.594.0", "2010.08.30", "Win32:Ertfor"
"BitDefender", "7.2", "2010.08.31", "Generic.Malware.dld!!.D6B81D3D"
"CAT-QuickHeal", "11.00", "2010.08.31", "-"
"ClamAV", "0.96.2.0-git", "2010.08.31", "-"
"Comodo", "5920", "2010.08.31", "-"
"Emsisoft", "5.0.0.37", "2010.08.31", "-"
"eSafe", "7.0.17.0", "2010.08.30", "-"
"eTrust-Vet", "36.1.7827", "2010.08.30", "Win32/Ertfor.CR"
"F-Prot", "4.6.1.107", "2010.08.31", "W32/Spyware-WebActiveClick-based!Maximus"
"F-Secure", "9.0.15370.0", "2010.08.31", "Generic.Malware.dld!!.D6B81D3D"
"Fortinet", "4.1.143.0", "2010.08.30", "-"
"GData", "21", "2010.08.31", "Generic.Malware.dld!!.D6B81D3D"
"Ikarus", "T3.1.1.88.0", "2010.08.31", "-"
"Jiangmin", "13.0.900", "2010.08.30", "-"
"K7AntiVirus", "9.63.2396", "2010.08.30", "Trojan"
"Kaspersky", "7.0.0.125", "2010.08.31", "-"
"McAfee", "5.400.0.1158", "2010.08.31", "Suspect-D!2418590A292F"
"Microsoft", "1.6103", "2010.08.31", "Trojan:Win32/Ertfor.B"
"NOD32", "5410", "2010.08.30", "a variant of Win32/TrojanDownloader.Small.NFD"
"Norman", "6.05.11", "2010.08.30", "W32/Suspicious_Gen2.BXTMR"
"nProtect", "2010-08-31.01", "2010.08.31", "-"
"Panda", "10.0.2.7", "2010.08.30", "-"
"PCTools", "7.0.3.5", "2010.08.31", "Downloader.Generic"
"Prevx", "3.0", "2010.08.31", "Medium Risk Malware"
"Rising", "22.63.01.04", "2010.08.31", "Trojan.DL.Win32.Undef.emn"
"Sophos", "4.56.0", "2010.08.31", "-"
"Sunbelt", "6816", "2010.08.31", "BehavesLike.Win32.Malware (v)"
"SUPERAntiSpyware", "4.40.0.1006", "2010.08.31", "Trojan.Smitfraud Variant-Gen/Bensorty"
"Symantec", "20101.1.1.7", "2010.08.31", "Downloader"
"TheHacker", "6.5.2.1.359", "2010.08.31", "-"
"TrendMicro", "9.120.0.1004", "2010.08.31", "PAK_Generic.001"
"TrendMicro-HouseCall", "9.120.0.1004", "2010.08.31", "-"
"VBA32", "3.12.14.0", "2010.08.30", "-"
"ViRobot", "2010.8.9.3978", "2010.08.31", "-"
"VirusBuster", "5.0.27.0", "2010.08.30", "-"
"MD5", "2418590a292f49b6dc4964afbfc22706"
"SHA1", "f9185bf3f5f1700983ffcb6b2b5b77a38800ff79"
"SHA256", "4cd9f68ca4fcbbbbd89023b8ea911019e0ff304f3f37dd4ae5c4c57ab7313bc4"
"File size", "29988 bytes"
"Scan date", "2010-08-31 08:41:23 (UTC)"

und falls du das noch brauchst:

TrID:
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEiD: -
packers (Authentium): UPX
packers (F-Prot): UPX
packers (Kaspersky): UPX
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x9A70
timedatestamp....: 0x4C7564EE (Wed Aug 25 18:46:06 2010)
machinetype......: 0x14C (Intel I386)

[[ 3 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
UPX0, 0x1000, 0x8000, 0x0, 0.0, d41d8cd98f00b204e9800998ecf8427e
UPX1, 0x9000, 0x1000, 0xE00, 7.11, 4c378081122a428a6d55a7762e1f5df5
UPX2, 0xA000, 0x1000, 0x200, 3.79, fd45f29c848f6ac39b889d29d922fe7e

[[ 4 import(s) ]]
advapi32.dll: RegCloseKey
kernel32.dll: LoadLibraryA, GetProcAddress, VirtualProtect
user32.dll: wsprintfA
wininet.dll: InternetOpenA

[[ 4 export(s) ]]
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer

Und dann is da aber noch was... kaspersky fragt die ganze zeit ob ich angeblich doch nicht infezierte dateien wiederherstellen will.. wenn ich zb winit.exe aus system32 wiederherstelle und auf den desktop packe.. dann sagt kaspersky mir:
explorer.exe versucht auf den virus winit.exe/ FGD zuzugreifen(wohlbemerkt ohne das ich die datei auch nur angeklickt habe)
dann löscht er winit.exe wieder und 5 minuten später will er es wieder restoren -.-'

cosinus · 31.08.2010, 12:40

Zitat:

dann löscht er winit.exe wieder und 5 minuten später will er es wieder restoren -.-'

winit.exe oder wininit.exe?

holyraider · 31.08.2010, 12:57

30.08.2010 01:04:11 Quarantined virus HEUR:Trojan.Win32.Generic C:\Windows\SysWOW64\wininit.exe High

sry, falsch gemerkt =S

cosinus · 31.08.2010, 13:18

Mach nochmal neue OTL-Logs mit der otl.exe - stell das Dateialter aber bitte mal auf min. 90 Tage

holyraider · 31.08.2010, 16:37

OTL:

hxxp://www.file-upload.net/download-2789129/OTL.Txt.html

extras:
hxxp://www.file-upload.net/download-2789132/Extras.Txt.html

sollte ich nochmal das was du früher gepostet hast wieder einfügen? weil jetzt hab ich das einfach nach standart prozedur gemacht.. hat auch nur 3 min gedauert..mit deinen befehlen hats knapp 20 gebraucht.

cosinus · 31.08.2010, 20:16

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
[2010.08.31 14:08:54 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Aspyr
[2010.08.27 09:23:37 | 000,000,000 | ---D | C] -- C:\Users\aspnet\AppData\Local\gdbjumtjw
[2010.08.12 23:14:43 | 000,000,000 | ---D | C] -- C:\Users\aspnet\AppData\Local\oyvctjqut
[2010.08.11 19:14:24 | 000,012,800 | ---- | C] ( ) -- C:\Windows\SysWow64\killapps.exe
[2010.08.06 00:31:03 | 000,000,000 | ---D | C] -- C:\Windows\E10DB5DAE57640EAA7FC1CB2A7B283A6.TMP
[2010.06.23 18:33:31 | 000,000,000 | ---D | C] -- C:\Windows\45235788142C44BE8A4DDDE9A84492E5.TMP
[2010.06.09 16:10:29 | 000,000,000 | ---D | C] -- C:\Windows\A7E07C2B2220441587E3784D5814BC93.TMP
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

holyraider · 01.09.2010, 00:34

musste neustarten..

Zitat:

All processes killed
========== OTL ==========
C:\Program Files (x86)\Aspyr\DefenseGridTheAwakening\Support folder moved successfully.
C:\Program Files (x86)\Aspyr\DefenseGridTheAwakening\Shaders\Generated folder moved successfully.
C:\Program Files (x86)\Aspyr\DefenseGridTheAwakening\Shaders\Common folder moved successfully.
C:\Program Files (x86)\Aspyr\DefenseGridTheAwakening\Shaders folder moved successfully.
C:\Program Files (x86)\Aspyr\DefenseGridTheAwakening\profiles\ folder moved successfully.
Folder move failed. C:\Program Files (x86)\Aspyr\DefenseGridTheAwakening\profiles scheduled to be moved on reboot.
C:\Program Files (x86)\Aspyr\DefenseGridTheAwakening\DirectX folder moved successfully.
C:\Program Files (x86)\Aspyr\DefenseGridTheAwakening folder moved successfully.
C:\Program Files (x86)\Aspyr folder moved successfully.
C:\Users\aspnet\AppData\Local\gdbjumtjw folder moved successfully.
C:\Users\aspnet\AppData\Local\oyvctjqut folder moved successfully.
C:\Windows\SysWOW64\killapps.exe moved successfully.
C:\Windows\E10DB5DAE57640EAA7FC1CB2A7B283A6.TMP folder moved successfully.
C:\Windows\45235788142C44BE8A4DDDE9A84492E5.TMP folder moved successfully.
C:\Windows\A7E07C2B2220441587E3784D5814BC93.TMP folder moved successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: aspnet
->Temp folder emptied: 29604458 bytes
->Temporary Internet Files folder emptied: 1448377 bytes
->Java cache emptied: 17003883 bytes
->FireFox cache emptied: 266877897 bytes
->Flash cache emptied: 1068118 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

User: Ralf
->Temp folder emptied: 6328087 bytes
->Temporary Internet Files folder emptied: 5688816 bytes
->Java cache emptied: 576141 bytes
->FireFox cache emptied: 109445718 bytes
->Flash cache emptied: 1869 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 200704 bytes
%systemroot%\System32 .tmp files removed: 1619120 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 10431080 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 67563 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 430,00 mb

OTL by OldTimer - Version 3.2.11.0 log created on 09012010_012734

Files\Folders moved on Reboot...
File\Folder C:\Program Files (x86)\Aspyr\DefenseGridTheAwakening\profiles not found!
C:\Users\aspnet\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File move failed. C:\Windows\temp\Jetty__25902__amd\webapp\WEB-INF\lib\activation.jar scheduled to be moved on reboot.
File move failed. C:\Windows\temp\Jetty__25902__amd\webapp\WEB-INF\lib\j2ee.jar scheduled to be moved on reboot.
File move failed. C:\Windows\temp\Jetty__25902__amd\webapp\WEB-INF\lib\jdom.jar scheduled to be moved on reboot.
File move failed. C:\Windows\temp\Jetty__25902__amd\webapp\WEB-INF\lib\json.jar scheduled to be moved on reboot.
File move failed. C:\Windows\temp\Jetty__25902__amd\webapp\WEB-INF\lib\mail.jar scheduled to be moved on reboot.
File move failed. C:\Windows\temp\Jetty__25902__amd\webapp\WEB-INF\lib\prmi.jar scheduled to be moved on reboot.
File move failed. C:\Windows\temp\Jetty__25902__amd\webapp\WEB-INF\lib\xerces.jar scheduled to be moved on reboot.
File\Folder C:\Windows\temp\hsperfdata_SYSTEM\2276 not found!

Registry entries deleted on Reboot...

was war denn in dem defense grid ordner was bösartig war? hab das spiel doch so gern gespielt

cosinus · 01.09.2010, 11:56

Ups sah nach Malware aus. Kannst Du aus dem _OTL Ordner auf C:\ wieder rausfischen

Zitat:

30.08.2010 01:04:11 Quarantined virus HEUR:Trojan.Win32.Generic C:\Windows\SysWOW64\wininit.exe High

Taucht die immer noch auf?

holyraider · 01.09.2010, 22:16

hi.. kann ich momentan nicht sagen, bin morgen erst wieder zu hause, werds dann nochmal checken und bescheid geben (:

holyraider · 02.09.2010, 16:53

hm.. also kaspersky sagt bei 5 dateien die in der quarantäne sind, dass die clean wären und nicht infiziert.
Ich hatte aber einmal die wininit.exe wiederhergestellt(auf dem desktop) und dann hat direkt die explorer.exe drauf zugegriffen(laut kaspersky der keylogger) und da hab ich alles gestoppt und die datei wieder gelöscht.
Also sobald ich die datei wiederherstelle sagt kaspersky mir das sie infiziert ist =/
und das is mit 4 weiteren dateien genauso.. wenn ich auf fix threads bei kaspersky klicke, dann kommen die 5 und sagen mir sie wären clean, stell ich sie her löscht kaspersky wegen viren..

hoffe man versteht was ich meine und warum ich das bisschen sinnlos finde =S

31.08.2010, 13:18	#20
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Suurch/fraudrop/packed.win32.krap Infected Mach nochmal neue OTL-Logs mit der otl.exe - stell das Dateialter aber bitte mal auf min. 90 Tage __________________ Logfiles bitte immer in CODE-Tags posten

Suurch/fraudrop/packed.win32.krap Infected

Plagegeister aller Art und deren Bekämpfung: Suurch/fraudrop/packed.win32.krap Infected