Gefunden: Scareware? System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-6016
 

Malware-report: Gefunden: System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0

Hallo,

auf einem Windows 7 64bit SP1 Rechner wurde die Dateien gefunden.
Nach einigen Forenbeiträgen soll es sich um einen Trojaner, ggf. Scareware-GVU- oder -BKA-Trojaner handeln. Oder aber diese Datei ist Teil eines "Droppers"/ Keyloggers, da ich keinerlei Scareware/(Fehler-)meldungen erhalte.

Was gegen einen einfachen komprimierten und gespeicherten Datentrom (Archive) spricht ist die hohe Entropie der Datei, sie spricht für Vollverschlüsselung, ggf. eines Keyloggers?

Zu den Symptomen: Der Rechner ist langsamer geworden, Speicher läuft schneller "voll" und benötigt etwas häufigere Neustarts. Aber keine gravierenden Veränderungen oder eindeutigen Hinweise oder Fehlermeldungen. Andere Symptome wie Browser-Redirects treten nicht auf.

Ich habe vor ein paar Wochen IT-Equipment mit Treiber-CDs aus China importiert und jene, die ich nicht im Orginal von der Website laden konnte, von Mini-CD installiert, nachdem ein VirusTotal-Scan keine Malware erkannt hat. Das kann auch nur Zufall sein. COMODO IS läuft immer.

Alle anderen Logs: hxxp://home.arcor.de/sirafil/misc/dl/scan-logs.zip
Zip-Passwort: 'trojaner-+-board.de'

Stimmt es, dass GMER noch nicht unter 64bit "läuft"?
Und wie sieht es mit COMBOFIX aus, ist das wieder nutzbar (win7, 64bit) und sinnvoll?

Und noch das ausführliche MBAM-log. Die gefundene Datei ist wahrscheinlich keine Malware, sondern von der Entwicklerseite heruntergeladen und mit VirusTotal gescannt, ein WLAN-Tool.

https://www.virustotal.com/file/3ecb78ee0fce434f97f31b35d1bdd88320518d6f664bdb3581fffde3a0472e81/analysis/


Vielen Dank.

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Hallo Arne,

nein, das ist das einzige Logfile.
Habe gerade festgestellt, dass CCleaner auch die Logs von MBAM und SuperAS löscht.
Das ist nun deaktiviert.

Bitte erstmal routinemäßig einen neuen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

jetzt ist dieser Vollscan fertig:
WirelessNetView.exe ist keine Malware, schon getestet.

und das zweite Log:

SHA256: 38615621239677224d4ff592dc91df1164d700be52a346e81df91f37a648b91c
File name: MyBabylonTB.exe
Detection ratio: 6 / 41
Analysis date: 2012-08-06 15:33:33 UTC ( 0 Minuten ago )

https://www.virustotal.com/file/38615621239677224d4ff592dc91df1164d700be52a346e81df91f37a648b91c/analysis/
Die Ergebnisse:
Emsisoft Riskware.Win32.Toolbar.Babylon.AMN!A2
TrendMicro-HouseCall TROJ_GEN.F47V0723 20120803
ViRobot Trojan.Win32.A.Agent.67584.F
Antiy-AVL Trojan/Win32.Agent.gen
Norman W32/BabylonToolbar.I

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Search.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

'C:\Users\xxx\AppData\Roaming\pdfforge\' gehört zu PDFCreator und ist ok.

Aber das hier sieht sehr nach wirklichem Treffer aus:
{7D86A08B-0A8F-4BE0-B693-F05E6947E780}
und ggf.
Found : user_pref("extensions.hxxps_everywhere.Blekko", true);
Found : user_pref("extensions.hxxps_everywhere.FeedMyInbox", true);

habe noch nichts geändert.

Ich hätte noch Prevx- und HJT-Logdateien.

sehr interessant, alle die 'HKLM\SOFTWARE\Classes\Interface\{7D86A08B-0A8F-4BE0-B693-F05E6947E780}' gefunden haben, haben auch ein Sony VAIO Notebook mit Win7, 64bit.

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Delete.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.