![]() |
Zitat:
Wenn ich mein gedächtnis aktiviere dann habe ich ein javaupdate gemacht, ja stimmt ! aber der ausgang allen übels ist eine software gewesen bei der ich selber die setup exe gestartet habe... ich bins also selber schuld, habe den ordner mit der software auch noch hier... kann davon gern etwas irgenwo hin schicken, bin mir sehr sicher, dass es damit etwas zu tun hat... das java update war kurz davor ... nicht, dass der schein uns hier trügt... danke !: |
Die java.exe müsste sauber sein. Bishher hab ich fast auf allen Logs hier diese drei Java-Deiten gesehen. Bei mir existieren sie auch und sind digital signiert. Wenn man sich das RSIT-Log anguckt, ist da noch viel mehr schädliches... Code: "C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\60325cahp25cas.exe"="C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\60325cahp25cas.exe:*:Enabled:Enabled" Code: C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\60325cahp25cas.exe Die Mountpoint-Einträge stammen meiner Meinung nach von einem Autorun-Wurm... Punkte (also ".") kann man nicht als Dateinamen verwenden. @chris: Mache bitte mal alle Verstekcten Ordner sichtbar und suche erneut manuell nach der Datei oder gib bei Virustotal direkt den Pfad ein. Der eigentliche Pfad müsste so aussehen: Code: X:\recycled\info.exe Gruß Handball10 |
Zitat:
|
ok, dann lade auch die setup.exe bei VirusTotal hoch, mal sehen was das ist. Edit: ich übergebe mal alles Weitere an handball10, sonst sind hier zu viele Köche am Werke :) |
Zitat:
alles klar das mache ich, vielen dank für deine hilfe :daumenhoc |
Zitat:
Ich übernehme gerne, aber dann würde es für den TO ein bisschen länger dauern (naja, er hat ja noch zu tun :) ) @chris alle Ergebnisse von Virustotal als Link posten und anschließen MalwareBytes AntiMalware scannen. Logfile bitte auch posten. Allgemein jedoch, würde ich mir nicht allzugroße Hoffnung machen, da hier einiges am werkeln ist. Gruß Handball10 |
Hallo handball 10, kann leider auch bei einlendung aller dateien das nicht finden, je nachdem in welchem log ihr das jetzt gefunden hattet, vielleicht ist es durch das benutzen der programme ccleaner usw... schon weggesperrt worden, es kann sein, dass ich heute nacht die reihenfolge der anwendungen falsch gemacht habe und daher das noch in einem der logs angezeigt wird... ich weiß auch nicht ... die anderen dateien hab ich gefunden und sende die ketzt zu virustotal... lg |
kann ich die dateien in einem zip ordner hochladen bei virustotal oder nur einzeln ? kannst du mir sagen wenn du zum training gehst :-) ich sitz hier nämlich und aktualisiere alle 1,5 sekunden :-) many thanks |
Zitat:
Zu den Dateien: Das Beste (auch wen n es langwierig ist) alle einzeln hochzuladen. Zitat:
Gruß Handball10 |
Zitat:
soll ich alle infos die mir von virustotal gezeigt werden hier in form von logfilecodes einbinden ? mach ich gern ! |
Zitat:
Zitat:
Gruß Handball10 |
also ein richtiges logfile bekomme ich da nicht, habe die ganzen infos die aufgezeigt werden per copy and paste genommen, hoffe das ist richtig, wenn nicht bitte nochmal erklären wie ich an ein richtiges logfile komme... damit ich es bei den vielen anderen daten richtig mache lg Code: Datei 223.tmp empfangen 2009.09.22 12:54:17 (UTC) |
Zitat:
Wie du die VT-Ergebnisse postets ists richtig :daumenhoc: Lass anschließend dem gescanne GMER laufen. Auch dieses Logfile :D bitte posten. So, ich muss jetzt weg :) Viel Erfolg noch Gruß Handball10 |
das is bei der datei 225.tmp herraus gekommen, komisch das da was von malw_13.ex_ steht als name ???? es wurde mir geschrieben,dass die datei bereits gestern hochgeladen wurde... :-) aber nicht von mir ! so dann ma weiter ... [code] Datei malw_13.ex_ empfangen 2009.09.21 17:30:41 (UTC) Status: Beendet Ergebnis: 21/41 (51.22%) Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.24 2009.09.21 Win32.Virtob!IK AhnLab-V3 5.0.0.2 2009.09.21 - AntiVir 7.9.1.23 2009.09.21 TR/Agent.ANOC.6 Antiy-AVL 2.0.3.7 2009.09.21 Trojan/Win32.Rabbit.gen Authentium 5.1.2.4 2009.09.21 - Avast 4.8.1351.0 2009.09.20 Win32:Trojan-gen {Other} AVG 8.5.0.412 2009.09.21 - BitDefender 7.2 2009.09.21 Trojan.Agent.ANOC CAT-QuickHeal 10.00 2009.09.21 - ClamAV 0.94.1 2009.09.21 - Comodo 2393 2009.09.21 - DrWeb 5.0.0.12182 2009.09.21 Trojan.DownLoad.41506 eSafe 7.0.17.0 2009.09.21 - eTrust-Vet 31.6.6750 2009.09.21 - F-Prot 4.5.1.85 2009.09.21 - F-Secure 8.0.14470.0 2009.09.21 Trojan.Win32.Rabbit.aau Fortinet 3.120.0.0 2009.09.21 W32/FakeAlert.ID!tr GData 19 2009.09.21 Trojan.Agent.ANOC Ikarus T3.1.1.72.0 2009.09.21 Win32.Virtob Jiangmin 11.0.800 2009.09.21 Trojan/Rabbit.fa K7AntiVirus 7.10.850 2009.09.21 - Kaspersky 7.0.0.125 2009.09.21 Trojan.Win32.Rabbit.aau McAfee 5748 2009.09.21 FakeAlert-ID McAfee+Artemis 5748 2009.09.21 FakeAlert-ID McAfee-GW-Edition 6.8.5 2009.09.21 Trojan.Agent.ANOC.6 Microsoft 1.5005 2009.09.21 Trojan:Win32/Malagent NOD32 4444 2009.09.21 - Norman 6.01.09 2009.09.21 W32/Renos.AAVE nProtect 2009.1.8.0 2009.09.21 - Panda 10.0.2.2 2009.09.21 Suspicious file PCTools 4.4.2.0 2009.09.20 - Prevx 3.0 2009.09.21 High Risk Cloaked Malware Rising 21.48.04.00 2009.09.21 - Sophos 4.45.0 2009.09.21 - Sunbelt 3.2.1858.2 2009.09.20 - Symantec 1.4.4.12 2009.09.21 Trojan.Pandex TheHacker 6.5.0.2.014 2009.09.21 - TrendMicro 8.950.0.1094 2009.09.21 TROJ_RABBIT.AF VBA32 3.12.10.10 2009.09.20 - ViRobot 2009.9.21.1945 2009.09.21 - VirusBuster 4.6.5.0 2009.09.21 - weitere Informationen File size: 27176 bytes MD5 : ce0fdab7e7dfa4e34fd496384bb3806a SHA1 : d804f9865319626ceacbd8fe6c2e7fac3835d71e SHA256: c2f3ed6e4a4eaa80f407b3942b5718806932377b90aab606a56306b21e44d971 PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x31D timedatestamp.....: 0x4AAF9A5C (Tue Sep 15 15:45:00 2009) machinetype.......: 0x14C (Intel I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x300 0x192 0x200 4.78 65540954153469f20b3e8570a7357b8b .rdata 0x500 0xD6 0x100 3.54 53f5fdffc6b334ac92956c843fd00559 .data 0x600 0x33 0x100 1.24 d11b166fccd6174ba1596f188114ce61 .rsrc 0x700 0x538 0x600 3.01 f006f427dd9672a6d8b0aa8b23e396ea .hehe 0xD00 0x5E00 0x5E00 7.70 ff224e433807bd5a403444278178bd31 ( 1 imports ) > kernel32.dll: ExitProcess, GetModuleHandleA, GetProcAddress, LoadLibraryA, Sleep, VirtualAlloc ( 0 exports ) TrID : File type identification Win32 Executable Generic (42.3%) Win32 Dynamic Link Library (generic) (37.6%) Generic Win/DOS Executable (9.9%) DOS Executable Generic (9.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) ssdeep: 384:wVWy+lJ07y7wx6UawOA7JILhTiVlqjat6FHrjN13nyEfx9EH43f2ABGoYXX:6Wgxx6Twd7JMWVlatj/31fx9EYNBGTXX Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=86D67DE3282014D66AB400D6BD73A8002CC9F1B2 PEiD : - RDS : NSRL Reference Data Set |
so bei 226.tmp wird mir nur das hier angezeigt... "0 bytes size received / Se ha recibido un archivo vacio" |
Alle Zeitangaben in WEZ +1. Es ist jetzt 20:01 Uhr. |
Copyright ©2000-2025, Trojaner-Board