Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Gefunden: Scareware? System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-6016 (https://www.trojaner-board.de/120960-gefunden-scareware-system32-7b296fb0-376b-497e-b012-9c450e1b7327-5p-1-c7483456-a289-439d-8115-6016-a.html)

ToolStoi 01.08.2012 10:44
Gefunden: Scareware? System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-6016
 
Malware-report: Gefunden: System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0

Hallo,

auf einem Windows 7 64bit SP1 Rechner wurde die Dateien gefunden.
Nach einigen Forenbeiträgen soll es sich um einen Trojaner, ggf. Scareware-GVU- oder -BKA-Trojaner handeln. Oder aber diese Datei ist Teil eines "Droppers"/ Keyloggers, da ich keinerlei Scareware/(Fehler-)meldungen erhalte.

Was gegen einen einfachen komprimierten und gespeicherten Datentrom (Archive) spricht ist die hohe Entropie der Datei, sie spricht für Vollverschlüsselung, ggf. eines Keyloggers?

Zu den Symptomen: Der Rechner ist langsamer geworden, Speicher läuft schneller "voll" und benötigt etwas häufigere Neustarts. Aber keine gravierenden Veränderungen oder eindeutigen Hinweise oder Fehlermeldungen. Andere Symptome wie Browser-Redirects treten nicht auf.

Ich habe vor ein paar Wochen IT-Equipment mit Treiber-CDs aus China importiert und jene, die ich nicht im Orginal von der Website laden konnte, von Mini-CD installiert, nachdem ein VirusTotal-Scan keine Malware erkannt hat. Das kann auch nur Zufall sein. COMODO IS läuft immer.

Zitat:
C:\windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
C:\windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
Zitat:
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 10:27 on 01/08/2012 (xxx)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-
Alle anderen Logs: hxxp://home.arcor.de/sirafil/misc/dl/scan-logs.zip
Zip-Passwort: 'trojaner-+-board.de'

Stimmt es, dass GMER noch nicht unter 64bit "läuft"?
Und wie sieht es mit COMBOFIX aus, ist das wieder nutzbar (win7, 64bit) und sinnvoll?

Und noch das ausführliche MBAM-log. Die gefundene Datei ist wahrscheinlich keine Malware, sondern von der Entwicklerseite heruntergeladen und mit VirusTotal gescannt, ein WLAN-Tool.

https://www.virustotal.com/file/3ecb78ee0fce434f97f31b35d1bdd88320518d6f664bdb3581fffde3a0472e81/analysis/

Zitat:
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.01.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
[xxx] :: [yyy] [Administrator]

01.08.2012 10:22:20
mbam-log-2012-08-01 (12-22-34).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 561402
Laufzeit: 1 Stunde(n), 58 Minute(n), 4 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Program Files (x86)\NirSoft\WirelessNetView\WirelessNetView.exe (PUP.WirelessNetworkTool) -> Keine Aktion durchgeführt.

(Ende)

Vielen Dank.

cosinus 04.08.2012 13:19
Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

ToolStoi 06.08.2012 11:08
Hallo Arne,

nein, das ist das einzige Logfile.
Habe gerade festgestellt, dass CCleaner auch die Logs von MBAM und SuperAS löscht.
Das ist nun deaktiviert.

cosinus 06.08.2012 12:30
Bitte erstmal routinemäßig einen neuen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
hier steht das Log

ToolStoi 06.08.2012 15:57
jetzt ist dieser Vollscan fertig:
Zitat:
Malwarebytes Anti-Malware 1.62.0.1300
Malwarebytes : Free anti-malware download

Datenbank Version: v2012.08.06.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
xxx :: yyy

06.08.2012 13:52:17
mbam-log-2012-08-06 (16-52-54).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 562204
Laufzeit: 2 Stunde(n), 47 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Program Files (x86)\NirSoft\WirelessNetView\WirelessNetView.exe (PUP.WirelessNetworkTool) -> Keine Aktion durchgeführt.

(Ende)
WirelessNetView.exe ist keine Malware, schon getestet.

und das zweite Log:

Zitat:
C:\Program Files (x86)\NirSoft\WirelessNetView\WirelessNetView.exe Win32/PSWTool.WirelessNetView.A application
C:\Users\[xxx]\AppData\Local\Temp\60377607-a0fb-49b0-adba-9c435df33687\winamp563_full_emusic-7plus_en-us.exe Win32/OpenCandy application
C:\Users\[xxx]\AppData\Local\Temp\ICReinstall\cnet2_copernicdesktopsearch-home_exe.exe a variant of Win32/InstallCore.D application
C:\Users\[xxx]\AppData\Local\Temp\is1598539481\MyBabylonTB.exe Win32/Toolbar.Babylon application
C:\Users\[xxx]\AppData\Roaming\Mozilla\Firefox\Profiles\md4nho9q.default\updatescanner\a28d1efdd6820000a7800a70f4c53ed6.new JS/Iframe.EX trojan
C:\Users\[xxx]\AppData\Roaming\Mozilla\Firefox\Profiles\md4nho9q.default\updatescanner\a28d1efdd6820000a7800a70f4c53ed6.old JS/Iframe.EX trojan
C:\Users\[xxx]\AppData\Roaming\Mozilla\Firefox\Profiles\md4nho9q.default\updatescanner\e6ae2b838a79258acd1ddd00427fb1a2.new JS/Iframe.EX trojan
C:\Users\[xxx]\AppData\Roaming\Mozilla\Firefox\Profiles\md4nho9q.default\updatescanner\e6ae2b838a79258acd1ddd00427fb1a2.old JS/Iframe.EX trojan
SHA256: 38615621239677224d4ff592dc91df1164d700be52a346e81df91f37a648b91c
File name: MyBabylonTB.exe
Detection ratio: 6 / 41
Analysis date: 2012-08-06 15:33:33 UTC ( 0 Minuten ago )

https://www.virustotal.com/file/38615621239677224d4ff592dc91df1164d700be52a346e81df91f37a648b91c/analysis/
Die Ergebnisse:
Emsisoft Riskware.Win32.Toolbar.Babylon.AMN!A2
TrendMicro-HouseCall TROJ_GEN.F47V0723 20120803
ViRobot Trojan.Win32.A.Agent.67584.F
Antiy-AVL Trojan/Win32.Agent.gen
Norman W32/BabylonToolbar.I

cosinus 06.08.2012 20:53
adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Search.
  • Nach Ende des Suchlaufs öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

ToolStoi 07.08.2012 08:23
Zitat:
# AdwCleaner v1.800 - Logfile created 08/07/2012 at 09:10:20
# Updated 01/08/2012 by Xplode
# Operating system : Windows 7 Home Premium Service Pack 1 (64 bits)
# User : xxx |yyy
# Running from : D:\DOWNLOAD\adwcleaner.exe
# Option [Search]


***** [Services] *****


***** [Files / Folders] *****

Folder Found : C:\Users\xxx\AppData\Roaming\pdfforge

***** [Registry] *****


***** [Registre - GUID] *****

Key Found : HKLM\SOFTWARE\Classes\Interface\{7D86A08B-0A8F-4BE0-B693-F05E6947E780}

***** [Internet Browsers] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Registry is clean.

-\\ Mozilla Firefox v14.0.1 (de)

Profile name : default
File : C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\md4nho9q.default\prefs.js

Found : user_pref("extensions.hxxps_everywhere.Blekko", true);
Found : user_pref("extensions.hxxps_everywhere.FeedMyInbox", true);

*************************

AdwCleaner[R1].txt - [950 octets] - [07/08/2012 09:10:20]

########## EOF - C:\AdwCleaner[R1].txt - [1077 octets] ##########
'C:\Users\xxx\AppData\Roaming\pdfforge\' gehört zu PDFCreator und ist ok.

Aber das hier sieht sehr nach wirklichem Treffer aus:
{7D86A08B-0A8F-4BE0-B693-F05E6947E780}
und ggf.
Found : user_pref("extensions.hxxps_everywhere.Blekko", true);
Found : user_pref("extensions.hxxps_everywhere.FeedMyInbox", true);

habe noch nichts geändert.

Ich hätte noch Prevx- und HJT-Logdateien.

sehr interessant, alle die 'HKLM\SOFTWARE\Classes\Interface\{7D86A08B-0A8F-4BE0-B693-F05E6947E780}' gefunden haben, haben auch ein Sony VAIO Notebook mit Win7, 64bit.

cosinus 08.08.2012 10:53
adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen
  • Schließe alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Delete.
  • Bestätige jeweils mit Ok.
  • Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:01 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131