Trojaner-Board
Seite 3 von 3 12 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Internet stürzt ab, Task-Manager blockiert - Wurm? (https://www.trojaner-board.de/77609-internet-stuerzt-ab-task-manager-blockiert-wurm.html)

cosinus 29.09.2009 15:38
Zitat:
combofix hatte nach dem neustart ne fehlermeldung , etwas konnte nicht entpackt werden
Schön, dass Du Dir die Meldung genau notiert und gepostet hast :(

Was ist mit der Auswertung der Dateien? In Posting #21 hab ich das hier geschrieben:

Zitat:
Zitat von cosinus
Edit: Schau auch mal bitte nach, ob Du eine der Dateien bei Virustotal auswerten lassen kannst. Falls keine mehr da ist mit den Dateinamen: Das scheinen zufällig generierte Dateinamen im Temppfad zu sein, werte dann eine aus, die in etwa das gleiche Dateinamensmuster haben.
Die Dateien die ich meine liegen in einem Temppfad:

C:\Dokumente und Einstellungen\Iliri\Lokale Einstellungen\Temp\xlqwb.exe

Das fett gedruckte xlqwb.exe ist nur ein Beispiel, die Dateinamen sind anscheinend bei jedem Windowsstart anders. Achte auf ähnlich zufällige Dateinamen in diesem Pfad und werte die bei Virustotal aus. Alle Ergebnisse posten auch die Prüfsummen und Dateigrößen!!


BTW: Ich weiß, ich hab hier auch zeitraubende Anleitungen gegeben, aber schon mal überlegt wie oft Du in der jetzigen Zwischenzeit schon formatieren und neuaufsetzen hättest können? :D

Assetmoc 01.10.2009 06:50
wie schon mehrmals gesagt: das geht nicht,virustotal wird einfach nicht geöffnert (sprich,die seite virustotal.com) ^^*

Jaaa mir ist klar wie oft ich das hätte tun können :rolleyes:
aber da war ein gewisser arne der noch weitermachen wollte ;D und nun möcht ich auch weitermachen hiermit :D

Achja : Mein eigentliches Problem ist gelöst ^^ Sprich die Sache mit dem Internet, bleibt noch das mit dem Task Manager ;D
(Ist allerdings ein neues Problem hinzugekommen aber dazu mach ich eventuell n neuen thread irgendwann mal ^^)

cosinus 01.10.2009 09:07
Probier mal statt Virustotal diese beiden Alternativen:

http://www.viruschief.com/
Jottis Malwarescanner

cosinus 01.10.2009 09:42
---
bitte ignorieren, Beitrag doppelt

Assetmoc 01.10.2009 14:20
Der Pfad in dem die Dateien sein sollen :
Imageshack - trov

Die Fehlermeldung,kommt jedesmal wenn ich den Rechner starte
Imageshack - fehlerg

von den beiden seiten die du angegeben hast klappt nur die eine, nämlich viruschief

allerdings kann ich die dateien nicht auswählen da ich wenn ich die ordneroptionen so einstelle dass alle dateien angezeigt werden die einstellungen sobald ich den ordner verlasse wieder zurückstellen :x

cosinus 01.10.2009 15:41
Drei Dateien sind in dem Beispiel:

aehf.exe
boqglt.exe
ntlcce.exe

(Wenn ich das richtig entziffert habe)

Diese drei Dateien mal bei file-upload.net hochladen und hier verlinken.

Assetmoc 02.10.2009 15:04
mh die sind nichtmehr da, dafür hab ich nun 6 neue da,könnten die das problem verursachen ?

http://img96.imageshack.us/img96/9289/troo.png

cosinus 02.10.2009 15:11
Ja, genau darum geht es, die heißen immer anders. Schnapp Dir diese Dateien und lad sie bei file-upload.net hoch. Am besten vorher die Dateien zippen und mit dem Standardpasswort infected versehen.

Assetmoc 02.10.2009 17:38
File-Upload.net - Verd-chtig.rar

allerdings ohne passwort, wusste nich wie das geht ^^*

john.doe 02.10.2009 17:56
*kurz einspringe*

ThreatExpert Report: Trojan-Downloader.Win32.Agent.bqbt, Backdoor.Trojan, Generic Proxy..

Das ist der Hauptgewinn.

Code:
Datei windctj.exe empfangen 2009.09.20 21:36:13 (UTC)
Status: Beendet
Ergebnis: 41/41 (100.00%)
 Filter
Drucken der Ergebnisse  Antivirus        Version        letzte aktualisierung        Ergebnis
a-squared        4.5.0.24        2009.09.20        Virus.Win32.Sality!IK
AhnLab-V3        5.0.0.2        2009.09.19        Win-Trojan/Agent.11264.JZ
AntiVir        7.9.1.19        2009.09.18        BDS/Backdoor.Gen
Antiy-AVL        2.0.3.7        2009.09.18        Trojan/Win32.Agent.gen
Authentium        5.1.2.4        2009.09.20        W32/Trojan3.ATP
Avast        4.8.1351.0        2009.09.20        Win32:Trojan-gen {Other}
AVG        8.5.0.412        2009.09.20        Agent2.MAN
BitDefender        7.2        2009.09.20        Backdoor.Agent.AAFO
CAT-QuickHeal        10.00        2009.09.19        Trojan.Agent.ATV
ClamAV        0.94.1        2009.09.19        Trojan.Downloader-69585
Comodo        2384        2009.09.20        TrojWare.Win32.Trojan.Agent.~EZH
DrWeb        5.0.0.12182        2009.09.20        Trojan.MailSpam.41
eSafe        7.0.17.0        2009.09.17        Win32.BDSBackdoor
eTrust-Vet        31.6.6746        2009.09.18        Win32/Maazben.O
F-Prot        4.5.1.85        2009.09.20        W32/Trojan3.ATP
F-Secure        8.0.14470.0        2009.09.20        Trojan-Downloader.Win32.Agent.bqbt
Fortinet        3.120.0.0        2009.09.19        W32/Agent.BQBT!tr.dldr
GData        19        2009.09.20        Backdoor.Agent.AAFO
Ikarus        T3.1.1.72.0        2009.09.20        Virus.Win32.Sality
Jiangmin        11.0.800        2009.09.20        TrojanDownloader.Agent.bppg
K7AntiVirus        7.10.849        2009.09.19        Trojan.Win32.Malware.1
Kaspersky        7.0.0.125        2009.09.20        Trojan-Downloader.Win32.Agent.bqbt
McAfee        5747        2009.09.20        Generic Proxy
McAfee+Artemis        5747        2009.09.20        Generic Proxy
McAfee-GW-Edition        6.8.5        2009.09.20        Trojan.Backdoor.Backdoor.Gen
Microsoft        1.5005        2009.09.20        TrojanProxy:Win32/Pramro.C
NOD32        4441        2009.09.19        Win32/Agent.HLU
Norman        6.01.09        2009.09.18        W32/Horst.gen33
nProtect        2009.1.8.0        2009.09.20        Trojan/W32.Agent.11264.CL
Panda        10.0.2.2        2009.09.20        Trj/Spammer.AND
PCTools        4.4.2.0        2009.09.20        Trojan-Downloader.Agent!sd6
Prevx        3.0        2009.09.20        High Risk Cloaked Malware
Rising        21.47.62.00        2009.09.20        Trojan.Win32.Nodef.hik
Sophos        4.45.0        2009.09.20        Mal/TinyDL-T
Sunbelt        3.2.1858.2        2009.09.20        Trojan.Win32.Generic!BT
Symantec        1.4.4.12        2009.09.20        Backdoor.Trojan
TheHacker        6.5.0.2.012        2009.09.18        Trojan/Downloader.Agent.bqbt
TrendMicro        8.950.0.1094        2009.09.20        TROJ_HORST.II
VBA32        3.12.10.10        2009.09.20        Trojan-Downloader.Win32.Agent.bqbt
ViRobot        2009.9.18.1943        2009.09.18        Trojan.Win32.Downloader.11264.IW
VirusBuster        4.6.5.0        2009.09.20        Trojan.DL.Agent.JFCI
weitere Informationen
File size: 11264 bytes
MD5  : 4a719b328bfbca567f29f49784f6159d
SHA1  : 29161890fe4ddab8e2c75885ed3daf337d138b71
SHA256: 2b1e0b9a7e306ea5ed059c770742bddc7ec21fb63756376c7f6277b1a1f5f2b6
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xA350
timedatestamp.....: 0x49D0A5B9 (Mon Mar 30 12:58:01 2009)
machinetype.......: 0x14C (Intel I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x7000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x8000 0x3000 0x2600 7.79 c6cfbf0931625bd8501144864b987b38
UPX2 0xB000 0x1000 0x200 3.04 2cc9ccfb43a446574fbf453585e246cd

( 6 imports )

> advapi32.dll: RegCloseKey
> kernel32.dll: LoadLibraryA, GetProcAddress, VirtualProtect, ExitProcess
> msvcrt.dll: atoi
> user32.dll: wsprintfA
> wininet.dll: InternetOpenA
> ws2_32.dll: -

( 0 exports )
TrID  : File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
ThreatExpert: http://www.threatexpert.com/report.aspx?md5=4a719b328bfbca567f29f49784f6159d
ssdeep: 192:fYu0yLpECClBGYh0LEZrN8VkNLeegkCLnXbAu0oimUMIiZ2g:fYudLplC2Yh04ZrN8VkNKeHCLLAZoxX
Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=15BE0E3000D5BB912C0B00D1FB29A6002C9104B5
PEiD  : UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
packers (Kaspersky): PE_Patch.UPX, UPX
packers (F-Prot): UPX
CWSandbox: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=4a719b328bfbca567f29f49784f6159d
packers (Authentium): UPX
RDS  : NSRL Reference Data Set
Code:
Datei winfevv.exe empfangen 2009.09.25 13:26:40 (UTC)
Status: Beendet
Ergebnis: 29/41 (70.73%)
 Filter
Drucken der Ergebnisse  Antivirus        Version        letzte aktualisierung        Ergebnis
a-squared        4.5.0.24        2009.09.25        Virus.Win32.Sality!IK
AhnLab-V3        5.0.0.2        2009.09.24        -
AntiVir        7.9.1.25        2009.09.25        TR/Downloader.Gen
Antiy-AVL        2.0.3.7        2009.09.25        -
Authentium        5.1.2.4        2009.09.25        W32/Keatep.B.gen!Eldorado
Avast        4.8.1351.0        2009.09.24        Win32:Crypt-DMJ
AVG        8.5.0.412        2009.09.25        SpamTool.EII
BitDefender        7.2        2009.09.25        Trojan.Generic.2467116
CAT-QuickHeal        10.00        2009.09.25        -
ClamAV        0.94.1        2009.09.25        -
Comodo        2432        2009.09.25        Heur.Suspicious
DrWeb        5.0.0.12182        2009.09.25        Trojan.PWS.Sector.5
eSafe        7.0.17.0        2009.09.24        Suspicious File
eTrust-Vet        31.6.6760        2009.09.25        Win32/Maazben!generic
F-Prot        4.5.1.85        2009.09.24        W32/Keatep.B.gen!Eldorado
F-Secure        8.0.14470.0        2009.09.25        -
Fortinet        3.120.0.0        2009.09.25        W32/Spam_Mailbot!tr
GData        19        2009.09.25        Trojan.Generic.2467116
Ikarus        T3.1.1.72.0        2009.09.25        Virus.Win32.Sality
Jiangmin        11.0.800        2009.09.25        Trojan/PSW.Agent.iei
K7AntiVirus        7.10.853        2009.09.24        Trojan.Win32.Malware.1
Kaspersky        7.0.0.125        2009.09.25        -
McAfee        5751        2009.09.24        Spam-Mailbot
McAfee+Artemis        5751        2009.09.24        Spam-Mailbot
McAfee-GW-Edition        6.8.5        2009.09.25        Trojan.Downloader.Gen
Microsoft        1.5005        2009.09.23        TrojanSpy:Win32/Keatep.B
NOD32        4457        2009.09.25        probably a variant of Win32/TrojanDownloader.Sality.G
Norman        6.01.09        2009.09.24        W32/Malware
nProtect        2009.1.8.0        2009.09.25        -
Panda        10.0.2.2        2009.09.24        Generic Trojan
PCTools        4.4.2.0        2009.09.25        -
Prevx        3.0        2009.09.25        Email High Risk Cloaked Malware
Rising        21.48.44.00        2009.09.25        Backdoor.Win32.PcClient.wao
Sophos        4.45.0        2009.09.25        Mal/Keatep-A
Sunbelt        3.2.1858.2        2009.09.24        Trojan.Win32.Generic!BT
Symantec        1.4.4.12        2009.09.25        Hacktool.Spammer
TheHacker        6.5.0.2.017        2009.09.24        -
TrendMicro        8.950.0.1094        2009.09.25        PAK_Generic.001
VBA32        3.12.10.11        2009.09.25        -
ViRobot        2009.9.25.1956        2009.09.25        -
VirusBuster        4.6.5.0        2009.09.24        -
weitere Informationen
File size: 16384 bytes
MD5  : b75f33928dbb1dbbb5953a0eea0dfe1e
SHA1  : d575d9b0e8c7c89f8b13e33822dad9fd25ab24f5
SHA256: 05cf910d953426bf379bc33b8d0c0a154564f53a2a4bf2116d14e07715f0a95b
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3E7B0
timedatestamp.....: 0x4AB77BCA (Mon Sep 21 15:12:42 2009)
machinetype.......: 0x14C (Intel I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x3A000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x3B000 0x4000 0x3A00 7.86 bb793c8647900154d2ffcb9c419c42f4
UPX2 0x3F000 0x1000 0x200 4.07 838654dfdb5c145efc0a3f9504076c30

( 8 imports )

> advapi32.dll: RegCloseKey
> iphlpapi.dll: GetAdaptersInfo
> kernel32.dll: LoadLibraryA, GetProcAddress, VirtualProtect, ExitProcess
> msvcrt.dll: memcpy
> shell32.dll: SHGetPathFromIDListA
> user32.dll: wsprintfA
> wininet.dll: FtpOpenFileA
> ws2_32.dll: -

( 0 exports )
TrID  : File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
ssdeep: 384:7nP0RPOiW3/MwisVuKzlVDy0RuCQJjp4G+I//V33cE:78RPa/Mwic34C8p4G+ql3c
Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=345E840F0089053D40B600A28EBDD90020A41D45
PEiD  : -
packers (Kaspersky): PE_Patch.UPX, UPX
packers (F-Prot): UPX
packers (Authentium): UPX
RDS  : NSRL Reference Data Set
Code:
Datei 4b8bfb86 empfangen 2009.10.01 23:20:25 (UTC)
Status: Beendet
Ergebnis: 40/41 (97.56%)
 Filter
Drucken der Ergebnisse  Antivirus        Version        letzte aktualisierung        Ergebnis
a-squared        4.5.0.24        2009.10.01        Virus.Win32.Sality!IK
AhnLab-V3        5.0.0.2        2009.10.01        Win-Trojan/Agent.7680.JQ
AntiVir        7.9.1.27        2009.10.01        TR/Spy.Gen
Antiy-AVL        2.0.3.7        2009.10.01        Trojan/Win32.Agent.gen
Authentium        5.1.2.4        2009.10.01        W32/Trojan-Sml-IWW!Eldorado
Avast        4.8.1351.0        2009.10.02        Win32:Neptunia-ADC
AVG        8.5.0.412        2009.10.01        DNSChanger.AG
BitDefender        7.2        2009.10.02        Trojan.Generic.2044615
CAT-QuickHeal        10.00        2009.10.01        Trojan.Agent.ATV
ClamAV        0.94.1        2009.10.01        Trojan.Agent-119577
Comodo        2487        2009.10.02        Heur.Suspicious
DrWeb        5.0.0.12182        2009.10.01        Trojan.Spambot.3378
eSafe        7.0.17.0        2009.10.01        Win32.TRSpy
eTrust-Vet        31.6.6772        2009.10.01        Win32/Maazben!generic
F-Prot        4.5.1.85        2009.10.01        W32/Trojan-Sml-IWW!Eldorado
F-Secure        8.0.14470.0        2009.10.01        Trojan.Win32.Agent.cogy
Fortinet        3.120.0.0        2009.10.01        W32/PWS.F!tr
GData        19        2009.10.02        Trojan.Generic.2044615
Ikarus        T3.1.1.72.0        2009.10.01        Virus.Win32.Sality
Jiangmin        11.0.800        2009.09.27        Trojan/Agent.cdgx
K7AntiVirus        7.10.858        2009.10.01        Trojan.Win32.Agent.cogy
Kaspersky        7.0.0.125        2009.10.02        Trojan.Win32.Agent.cogy
McAfee        5758        2009.10.01        Generic PWS.f
McAfee+Artemis        5758        2009.10.01        Suspect-29!B08785EB60CD
McAfee-GW-Edition        6.8.5        2009.10.02        Heuristic.BehavesLike.Win32.Downloader.H
Microsoft        1.5101        2009.10.01        TrojanProxy:Win32/Pramro.B
NOD32        4474        2009.10.01        a variant of Win32/SpamTool.Agent.NAR
Norman        6.01.09        2009.10.01        W32/Horst.gen33
nProtect        2009.1.8.0        2009.10.01        Trojan/W32.Agent.7680.DD
Panda        10.0.2.2        2009.10.01        Trj/Downloader.MDW
PCTools        4.4.2.0        2009.10.01        -
Prevx        3.0        2009.10.02        High Risk Cloaked Malware
Rising        21.49.22.00        2009.09.30        Trojan.Win32.Small.zzd
Sophos        4.45.0        2009.10.02        Mal/TinyDL-T
Sunbelt        3.2.1858.2        2009.10.01        Trojan.Win32.Generic!BT
Symantec        1.4.4.12        2009.10.02        Trojan Horse
TheHacker        6.5.0.2.026        2009.10.02        Trojan/Agent.clss
TrendMicro        8.950.0.1094        2009.10.01        TROJ_AGENT.AUOF
VBA32        3.12.10.11        2009.09.30        Trojan.Win32.Agent.clss
ViRobot        2009.10.1.1967        2009.10.01        Trojan.Win32.Agent.7680.Z
VirusBuster        4.6.5.0        2009.10.01        Trojan.Agent.MNZU
weitere Informationen
File size: 7680 bytes
MD5  : b08785eb60cd951a5a2b546522ecc72a
SHA1  : 470ff50abc7d7239de388ebbe2b7163a57cb64f8
SHA256: d61a22b69e5083fc025600c604d406bc3ea5883a6dc9682b1c4cd9a51d6d4b9d
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x17640
timedatestamp.....: 0x4A2ECCF5 (Tue Jun 9 22:58:29 2009)
machinetype.......: 0x14C (Intel I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x15000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x16000 0x2000 0x1800 7.81 1183dea84dddc3086614efdc5dd22eaf
UPX2 0x18000 0x1000 0x200 2.95 a75fbe41ee8d2b18a100892f2125a480

( 5 imports )

> advapi32.dll: RegOpenKeyA
> kernel32.dll: LoadLibraryA, GetProcAddress, VirtualProtect, ExitProcess
> user32.dll: wsprintfA
> wininet.dll: InternetOpenA
> ws2_32.dll: -

( 0 exports )
TrID  : File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
ThreatExpert: http://www.threatexpert.com/report.aspx?md5=b08785eb60cd951a5a2b546522ecc72a
ssdeep: -
Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=87EE0BBE00AB4A931E240050C9A26F004B8FD45B
PEiD  : UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
packers (Kaspersky): PE_Patch.UPX, UPX
packers (F-Prot): UPX
packers (Authentium): UPX
RDS  : NSRL Reference Data Set
ciao, andreas

cosinus 03.10.2009 11:14
Tja, wir hätten eher abbrechen sollen, wär ich mal eher auf die Idee gekommen, die Dateien bei file-upload.net hochladen zu lassen :kaffee:

Du solltest bei dieser Lage den Rechner neu aufsetzen => http://www.trojaner-board.de/51262-a...sicherung.html

Du bist entlassen :kloppen:

Assetmoc 04.10.2009 18:04
wieso plötzlich diese entscheidung? ^^

achja : hab von der telecom nen brief bekommen .
ich habe scheinbar spam nachrichten ohne ende verschickt , sprich werbung etc. :D toller virus :D

john.doe 04.10.2009 18:13
Weil du gleich mehrere Spambots auf deinem Rechner hattest bzw. noch hast. Ich meinte, dass wäre eindeutig im Threatexpert-Link zu erkennen. Die Emails gingen aber alle nach Italien. :D

Jetzt nimm die verseuchte Kiste endlich vom Netz, bevor dir dein Provider den Internetzugang sperrt.

ciao, andreas

cosinus 04.10.2009 19:42
Wie ich schon sagte, wir hätten eher die Dateien bei file-upload.net hochladen sollen, dann hätte ich Dir auch eher sagen können, dass Du plattmachen und neuaufsetzen solltest.

Assetmoc 04.10.2009 20:37
mööp :D
ok dann danke für deine hilfe bisher cosinus ^^

ich mach des dann morgen ;D


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:56 Uhr.
Seite 3 von 3 12 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131