Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bankaccount wg. Trojaner gesperrt. (https://www.trojaner-board.de/73972-bankaccount-wg-trojaner-gesperrt.html)

john.doe 11.06.2009 15:50
Zitat:
also der Ordner ? in C:\WINDOWS\system32 wird nicht angezeigt.
Führe nur Punkt 1 durch und du wirst ihn sehen. ;)
Zitat:
Dafür aber einige Ordner in blau in C:\WINDOWS\
Falls du Platz sparen möchtest, dann kannst du die alle löschen. Die dienen dazu die Updates wieder rückgängig zu machen. Der Sinn davon hat sich mir nie erschlossen. :)

Die letzten Scans, der Rechner scheint tatsächlich sauber zu sein. Deine Vermutung mit den abgefangenen Daten wird immer wahrscheinlicher.

1.) Panda Active Scan
Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.
2.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte.

ciao, andreas

hetoimasia 11.06.2009 23:41
Hi Andreas,

ah so ist das mit den blauen Einträgen. Es macht also nichts wenn man die einfach löscht :) ??

Mh, selbst wenn ich den Explorer so einstelle wie gezeigt sehe ich den Ordner nicht. Seltsam oder??

Anbei habe ich das Protokoll von Active-Scan geposted:


;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-06-12 00:24:51
PROTECTIONS: 2
MALWARE: 2
SUSPECTS: 0
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
AntiVir Desktop 9.0.1.30 Yes Yes
Kaspersky Internet Security 8.0.0.506 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
02885963 Rootkit/Booto.C Virus/Worm No 0 Yes No C:\System Volume Information\_restore{576D7B26-A37B-49D1-8F26-068B3BC56CE5}\RP74\A0022580.sys
04023711 Generic Malware Virus/Trojan No 0 Yes No D:\Download Daten\Musikbearbeitung\Voxengo Elephant\elephant\Keygen.exe
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location -~
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description -~
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================


Wie ist das mit den Sachen die Kaspersky gefunden hat. Das sahen nicht so aus als seien sie Viren oder?

PrevX 3.0 meldet keine Funde.


Viele Grüße und nochmals vielen Dank,
Nils

john.doe 12.06.2009 15:39
Zitat:
Wie ist das mit den Sachen die Kaspersky gefunden hat.
Das war nicht das richtige Log von Kaspersky.

Scripten mit Combofix
  • Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
KILLALL::

DirLook::
C:\WINDOWS\system32
D:\Download Daten
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt auf das Symbol von Combofix ziehen!
http://users.pandora.be/bluepatchy/m...s/CFScript.gif
  • Danach das Log von Combofix posten.


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

hetoimasia 13.06.2009 13:51
Hi Andreas,

gut, dann werde ich Kaspersky nochmal installieren und versuchen das richtige log-File zu posten, Ok?

Hier das Combofix-log:

http://www.materialordner.de/e4eZkfzglhbcGHtth5vaFSIA5dPcUiCZ.html


Viele Grüße!

john.doe 13.06.2009 14:43
Ich habe zwei Nachrichten für dich, eine gute und eine schlechte. Zuerst die gute: Die Datei msetup ist sauber.

Die schlechte: Du darfst neuaufsetzen. Die Daten wurden nicht abgefangen, sondern von deinem Rechner gestohlen. Deshalb kannst du dir den Scan mit Kaspersky schenken.

Wenn ich bestimmte Dinge in der Softwareliste sehe, dann werde ich automatisch argwöhnisch. Dazu gehören:
  • Adobe Master Collection
  • Cubase
  • Vegas Movie Studio

Bei dir findet sich folgendes Programm:
Code:
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
Quelle: Ist meine cledx.exe das Original oder ein Trojaner?
Zitat:
Die Datei cledx.exe ist ein Software-Emulator, der einen Hardware Dongle im Speicher nachbildet. Ein Dongle ist eine Art USB-Stick, der Lizenzen für meist teure Software enthält. Die Software fragt den "Stick" ab und wenn die zurückgegebene Lizenz gültig ist, läßt sie sich starten. Das H2O Team ist aber keine Firma, wie hier angegeben, sondern eine Gruppe von Crackern. Allerdings kann den Emulator auch mit gültigen Lizenzen betrieben werden, die man vom Hersteller käuflich erworben hat. Über eine eventuelle Systemschädigung durch cledx.exe ist mir nichts weiter bekannt.
Aber da ist gar nicht das Problem, sondern hier:
Zitat:
04023711 Generic Malware Virus/Trojan No 0 Yes No D:\Download Daten\Musikbearbeitung\Voxengo Elephant\elephant\Keygen.exe
Das Programm kann man per Torrent beziehen (hab ich gemacht) oder sogar über eine Website:
hxxp://www.4shared.com/account/file/95218237/1f5c04a3/VOXENGO_ELEPHANT_VST_V1_4A.html

Wenn man dort jedoch auf die kaum erkennbare Zeile
Zitat:
Tested by Kaspersky Anti-Virus 2009-03-26 details
auf details klickt, erscheint:
Zitat:
This file contains the virus(es) listed below. However, you can still download it at your own risk.

Backdoor.Win32.Rbot.yhx
Lassen wir diesen Keygen dochmal bei VT überprüfen:
Virustotal. MD5: c557a5bb62af5630814335f4ec5ee700 Backdoor.Sdbot Worm.Rbot.19968.8 Backdoor.Win32.Rbot.yhx
Code:
Datei keygen.exe empfangen 2009.06.13 13:32:57 (UTC)
Status:    Beendet
Ergebnis: 30/39 (76.93%)
 Filter
Drucken der Ergebnisse  Antivirus        Version        letzte aktualisierung        Ergebnis
a-squared        4.5.0.18        2009.06.13        Trojan-Downloader.Win32.Delf.MM!IK
AhnLab-V3        5.0.0.2        2009.06.12        Win32/IRCBot.worm.variant
AntiVir        7.9.0.187        2009.06.12        Worm/Rbot.19968.8
Antiy-AVL        2.0.3.1        2009.06.12        -
Authentium        5.1.2.4        2009.06.12        W32/Heuristic-210!Eldorado
Avast        4.8.1335.0        2009.06.12        Win32:Trojan-gen {Other}
AVG        8.5.0.339        2009.06.13        IRC/BackDoor.SdBot4.ICO
BitDefender        7.2        2009.06.13        Packer.PESpin.A
CAT-QuickHeal        10.00        2009.06.13        Backdoor.Rbot.yhx
ClamAV        0.94.1        2009.06.13        -
Comodo        1325        2009.06.13        Backdoor.Win32.Rbot.yhx
DrWeb        5.0.0.12182        2009.06.13        -
eSafe        7.0.17.0        2009.06.11        Win32.Backdoor.Sdbot
eTrust-Vet        31.6.6556        2009.06.12        -
F-Prot        4.4.4.56        2009.06.12        W32/Heuristic-210!Eldorado
F-Secure        8.0.14470.0        2009.06.13        Backdoor.Win32.Rbot.yhx
Fortinet        3.117.0.0        2009.06.13        -
GData        19        2009.06.13        Packer.PESpin.A
Ikarus        T3.1.1.59.0        2009.06.13        Trojan-Downloader.Win32.Delf.MM
K7AntiVirus        7.10.762        2009.06.12        Backdoor.Win32.Rbot
Kaspersky        7.0.0.125        2009.06.13        Backdoor.Win32.Rbot.yhx
McAfee        5644        2009.06.12        W32/Sdbot.worm
McAfee+Artemis        5644        2009.06.12        W32/Sdbot.worm
McAfee-GW-Edition        6.7.6        2009.06.13        Worm.Rbot.19968.8
Microsoft        1.4701        2009.06.13        -
NOD32        4152        2009.06.13        probably a variant of Win32/Rbot
Norman        6.01.09        2009.06.12        W32/Packed_PeSpin.B
nProtect        2009.1.8.0        2009.06.13        Backdoor/W32.RBot.19968.M
Panda        10.0.0.14        2009.06.13        Generic Malware
PCTools        4.4.2.0        2009.06.12        -
Prevx        3.0        2009.06.13        -
Rising        21.33.52.00        2009.06.13        -
Sophos        4.42.0        2009.06.13        Mal/Packer
Sunbelt        3.2.1858.2        2009.06.13        Trojan.Win32.Packer.PESpinv0.ba (v)
Symantec        1.4.4.12        2009.06.13        Backdoor.Sdbot
TheHacker        6.3.4.3.345        2009.06.13        Backdoor/Rbot.yhx
TrendMicro        8.950.0.1092        2009.06.12        Cryp_PESpin
VBA32        3.12.10.7        2009.06.13        Backdoor.Win32.Rbot.yhx
ViRobot        2009.6.13.1785        2009.06.13        Backdoor.Win32.IRCBot.19968.AC
weitere Informationen
File size: 19968 bytes
MD5...: c557a5bb62af5630814335f4ec5ee700
SHA1..: 925dc49aae19c0ca55be58dc3045e821da9eb1e6
SHA256: 29810a0ff50601172700f48bf877e889b7c856eb975de1b2fc8ed4ef5d15b05d
ssdeep: -
PEiD..: PE Spin v0.b
TrID..: File type identification
Win32 Dynamic Link Library (generic) (65.4%)
Generic Win/DOS Executable (17.2%)
DOS Executable Generic (17.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x8081
timedatestamp.....: 0x0 (Thu Jan 01 00:00:00 1970)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.wkt0 0x1000 0x524 0x600 7.17 c201a4409877b41356a6f0506aff5319
.wkt0 0x2000 0x130 0x200 1.65 df5032b4b09f86f45e5bc12ee8169f68
.wkt0 0x3000 0x10a0 0x200 5.50 1e00f5b4ffad03b2b4da2c2cb2720d53
.rsrc 0x5000 0x2b38 0x2c00 6.96 e2234aa6ea2c267f9d1cba476d11687f
.wkt0 0x8000 0x13d8 0x1400 7.78 5db69fedbcb9e1416e94e108ecd95d17

( 2 imports )
> KERNEL32.DLL: LoadLibraryA
> USER32.DLL: MessageBoxA

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=c557a5bb62af5630814335f4ec5ee700' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=c557a5bb62af5630814335f4ec5ee700</a>
packers (Authentium): PESpin
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=c557a5bb62af5630814335f4ec5ee700' target='_blank'>http://www.threatexpert.com/report.aspx?md5=c557a5bb62af5630814335f4ec5ee700</a>
packers (F-Prot): PESpin
Ziemlich eindeutig. :)

Und hier ist die Quelle:
Zitat:
2009-01-28 18:14 . 2008-11-13 16:03 11524612 ----a-w- d:\download daten\Musikbearbeitung\Voxengo.Elephant.VST.v3.1.Incl.Keygen-AiR.rar
Jetzt sind wir wieder an der Stelle, an der wir begonnen haben: :)
http://www.trojaner-board.de/51262-a...sicherung.html

Du bist entlassen und ich bin raus,
andreas

hetoimasia 14.06.2009 10:03
Ja,

ist einzusehen und ich habe mir es auch schon gedacht, als ich die letzten Scan Ergebnisse sah. Ich danke Dir vielmals!!!

Beste Grüße!!

hetoimasia 14.06.2009 10:10
Hi Andreas,

eine kurze Frage erlaube mir noch! Kann ich Daten die keine .exe Dateien sind sichern, ohne Gefahr zu laufen, dass mir auf den neuen PC wieder irgendwas draufziehe was ich nicht haben möchte??

Auf Deinen Ratschlag zum Neuaufsetzen hin, denke ich dass dieser am Keygen hängende Virus sich bei Benutzung so tief ins System arbeitet, dass man ihn nicht wieder entfernen kann, oder??

Nachmals vielen Dank!!!

john.doe 14.06.2009 11:00
Weil du dich einsichtig gezeigt hast, mache ich eine Ausnahme.
Zitat:
Kann ich Daten die keine .exe Dateien sind sichern, ohne Gefahr zu laufen, dass mir auf den neuen PC wieder irgendwas draufziehe was ich nicht haben möchte?
Ja. Die sollten allerdings vor Zurückspielen mit mehreren aktuellen Scannern getestet werden. Klicke auf Anleitungen in meiner Signatur, dort findest du geeignete Scanner.

ciao, andreas

hetoimasia 14.06.2009 12:07
Hi Andreas,

ja natürlich zeige ich mich einsichtig!!! :( Jetzt will ich aber auch verhindern, dass ich mir beim Neuinstallieren alles wieder einfange was die Probleme verursacht hat.
Auf welche Programme in dem "Anleitungen" Link in Deiner Signatur spielst Du an? Ich denke Avira, Anti-Malware und SuperAntiSpyware ?? Ich würde also so vorgehen:

a) die Daten die ich behalten möchte kopiere ich auf eine leere externe Platte
b) ich formatiere die Festplatte mit der XP-Installation und installiere anschließend XP und die Treiber für den Rechner neu (von Original CDs die mitgeliefert wurden).
c) Ich richte neben dem Admin-Konto ein Nutzerkonto mit beschränkten Rechten ein, aktiviere die XP-Firewall, befolge die Schritte die Du in Neuaufsetzen+Absicherung des Systems vorschlägst.
d) Danach aktiviere ich die Internetverbindung, ziehe XP-Updates die nicht im SP3 enthalten waren und die oben genannten Scanner.
e) dann überprüfe ich die Daten auf der externen Platte mit den aktualisierten Scannern und spiele sie bei nicht-anschlagen der Scanner zurück in die vorgesehene D:\ Partition
f) Meinen USB-Stick scanne ich gleich wie die externe Platte mit den Scannern und verwende ihn wie gewohnt, wenn keine Funde stattfinden.

Ist das sinnvoll so wie ich es beschrieben habe???

Tausend Dank dann nochmal!!!! :daumenhoc

john.doe 14.06.2009 14:20
DrWeb sehe ich da noch. :)

Dann haben wir noch Textbausteine für Onlinescanner, wie Kaspersky, Panda und Prevx.
Zitat:
Ist das sinnvoll so wie ich es beschrieben habe?
Ja, dann noch Autoplay von Windows abschalten und keine Keygens, Cracks und Patches mehr ausführen sowie Hände weg von Warezsites und P2P-Software.

Wenn du dann noch deine Programme und das Betriebssystem aktuell hältst, kann dir kaum etwas passieren.

ciao, andreas


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:28 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131