Trojaner-Board - Erfahrungen Virus?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Erfahrungen Virus? (https://www.trojaner-board.de/53638-erfahrungen-virus.html)

Erfahrungen Virus?

Hallo.
Meine Freundin schickte mir ehute diesen Text..

****

naja ich dachte is meine Freundin die wird mir schon nichts schlimmes Schicken.
fehlanzeige. Es hat sich ein Download geöffnet ****
nun ich weiß net ob das jetzt ein Virus oder ein Trojanaer ist.Denn anvira sagt nichts dazu.. Dennoch fährt mein Rechner nun oft herunter..

Habt ihr erfahrungen mit dieser seite?..

edit__
ich habe auch keinen Ton mehr..
mir ist nun aufgefallen ich werde von Ihr zugespammt.
d.h also entweder ist die dumm oder sie hat nen Virus drauf..
ich werde sie mal morgen anrufen oder so.. dennoch will ich meinen runterhaben^^

mfg m0nst3rkill3r

Poste bitte ein HiJackThis Logfile!

Bei deiner Datei, welche du erwähnt hast, handelt es sich um Malware, wie eine Analyse zeigt:

Zitat:

Analysis Report for sample.exe
Summary:
Autostart capabilities: This executable registers processes to be executed at system start. This could result in unwanted actions to be performed automatically.
Joins IRC Network: The executable connects to an IRC network, most probably functioning as a zombie in a botnet.

Zitat:

Table of Contents

* General information
* sample.exe
o C:\sample.exe
o Primary Analysis Subject
o General information
o a) Registry Activities
o b) File Activities
o c) Process Activities
o sample.exe
+ C:\sample.exe
+ Started by sample.exe
+ General information
+ a) Registry Activities
+ b) File Activities
+ c) Process Activities
+ scvhost.exe
# C:\WINDOWS\scvhost.exe
# Started by sample.exe
# General information
# a) Registry Activities
# b) File Activities
# c) Process Activities
# scvhost.exe
* C:\WINDOWS\scvhost.exe
* Started by scvhost.exe
* General information
* a) Registry Activities
* b) File Activities
* c) Windows Service Activities
* d) Process Activities
* e) Network Activities
* services.exe
o C:\WINDOWS\system32\services.exe
o NtConnectPort(\RPC Control\ntsvcs was called.
o General information
o a) Registry Activities
o b) File Activities
* 91238m.exe
o 91238m.exe
o Started by scvhost.exe
o General information

Ganzer Report auf Anubis - Analysis Report

Es lohnt sich, den mal durchzuschauen!

Und hier sieht man, wie wenige AV's diesen (neuen?) Schädling erkennen!

Zitat:

Datei Informationen
Dateiname : File.zip
Größe : 24806 byte
Typ : Zip archive data, at least v2.0 to extract
MD5 : f382dd853c2a633340383686f5f8c09e
SHA1 : 9d1550c0f5e09525205180f1d106303a87b39094

Scan Ergebnis
Scan Ergebnis : 6% der Scanner (2/36) haben Malware gefunden!
Zeit : 2008/06/08 15:21:54 (CEST)

Ikarus T3.1.01.26 2008.06.08.70886 2008-06-08 VirTool.Win32.Injector.C
Microsoft 1.3604 2008.06.08 2008-06-08 VirTool:Win32/Injector.gen!C

Mfg

Wie bekomme ich diese Maleware am besten Weg?

Zitat:

Zitat von BataAlexander (Beitrag 344098)

Poste bitte ein HiJackThis Logfile!

Wiederhole mich ungern :)

Ja war gerade dabei..

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:57:30, on 08.07.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\xampp\apache\bin\apache.exe
C:\Programme\DynDNS Updater\DynUpSvc.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\xampp\apache\bin\apache.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Möller\Desktop\HiJackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.schuelervz.net/phot...che=1212857731
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2.2 - Apache Software Foundation - C:\xampp\apache\bin\apache.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: DynDNS Updater - Unknown owner - C:\Programme\DynDNS Updater\DynUpSvc.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - c:\xampp\FileZillaFTP\FileZillaServer.exe

--
End of file - 3397 bytes

Auf den ersten Blick sieht der Virus nicht aktiviert aus.
Allerdings fehlen Dir wichtige Updates, Service Pack 2 ggf. Service Pack 3 für XP.

Fertige ein Backup Deiner persönlichen Daten an und lade Dir das SP3.

Danach besuche mit dem Internet Explorer die Seite Microsoft Windows Update und installiere alle fehlenden Updates.

Dann lasse Malwarebytes laufen und poste das Log hier.

Hallo also Sp3 Läuft gerade...
Hier Maleware Bytes

Zitat:

Malwarebytes' Anti-Malware 1.15
Datenbank Version: 840

17:17:22 08.07.2008
mbam-log-7-8-2008 (17-17-22).txt

Scan Art: Schnell Scan
Objekte gescannt: 37672
Scan Dauer: 4 minute(s), 25 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)

greetz

Zitat:

Hallo also Sp3 Läuft gerade...

Du meinst es lädt grad runter?

Das Log ist ok, keine Auffäligkeiten.

Ja. Sp3 Downloaded Gerade..
"keine anfälligkeiten " dann ist ja gut^^

Gut, führe das Backup vorher Durch, installiere dann das SP3 und behalte das Verhalten Deines Rechners im Auge.

Nach der Installation solltest Du Dein Avira updaten und dann einen Systemscan auszuführen.

Was für ein Backup soll ich denn machen? weil. Wenn ich eines Mache hab ich den Windows ordner doch au drin .. d.h ich hab wieder sp1

Zitat:

Zitat von BataAlexander (Beitrag 344312)

Fertige ein Backup Deiner persönlichen Daten an und lade Dir das SP3.

Ich wiederhole mich ungern². ;)

Tut mir Leid, dass ich mich schon wieder einmische, aber ich habe gerade eine Rückmeldung von Avira bekommen:

Zitat:

Sehr geehrte Dame, sehr geehrter Herr,

Vielen Dank für Ihre Email an Avira's Virenlabor.
Auftragsnummer: INC00159877.

Wir haben folgende Archivdateien empfangen:

Datei ID Dateiname Größe (Byte) Ergebnis
25039609 File.zip 24.22 KB OK

Eine Auflistung der Dateien und Ergebnisse, die in Archiven enthalten waren, sind im folgenden aufgeführt:
Datei ID Dateiname Größe (Byte) Ergebnis
25039610 DC17GJ14.jpg-imag...ck.com 30.31 KB MALWARE
25039611 Verd 203 Byte CLEAN

Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
Dateiname Ergebnis
DC17GJ14.jpg-imag...ck.com MALWARE

Die Datei 'DC17GJ14.jpg-imageshaack.com' wurde als 'MALWARE' eingestuft. Unsere Analytiker haben dieser Bedrohung den Namen Worm/SdBot.31040 gegeben. Bei der Bezeichnung "WORM/" handelt es sich um einen Wurm, welcher in der Lage ist sich z.B. über das Internet (Emailversand, Peer-To-Peer Netzwerke, IRC Netzwerke, etc.) oder dem Intranet selbsttätig zu verbreiten.Ein Erkennungsmuster ist mit Version 7.00.04.159 der Virendefinitionsdatei (VDF) hinzugefügt.

So nun hat auch dieses Teil einen Namen.:)
Gruss

//EDIT:
Es scheinen anscheinend auch noch andere Antivirenhersteller auf meine Mail reagiert zu haben:

Ausschnitt aus VirScan-Log:

Zitat:

Dateiname : File.zip
Größe : 24806 byte
Typ : Zip archive data, at least v2.0 to extract
MD5 : f382dd853c2a633340383686f5f8c09e
SHA1 : 9d1550c0f5e09525205180f1d106303a87b39094

Scan Ergebnis : 22% der Scanner (8/36) haben Malware gefunden!

AntiVir 7.8.0.55 7.0.4.165 2008-06-09 Worm/SdBot.31040
BitDefender 7.60825.1257043 7.19427 2008-06-09 Trojan.Crypt.EF
F-Secure 5.51.6100 2008.06.09.06 2008-06-09 Backdoor.Win32.SdBot.eiu [AVP]
Kaspersky 5.5.10 2008.06.09 2008-06-09 Backdoor.Win32.SdBot.eiu
Sophos 2.74.1 4.30 2008-06-09 Troj/Drop-AB

Ich schicke Malware-Samples sowieso immer "an alle"! :)