Trojaner-Board
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Generic.1857123.27 (https://www.trojaner-board.de/74268-tr-generic-1857123-27-a.html)

Puma1408 18.06.2009 20:22
Ja ist es :)

lg

john.doe 18.06.2009 20:57
Gute Nachricht: Direkte Anzeichen für Schädlinge gibt es nicht.

Schlechte Nachricht: Da ist ein Müll installiert, der mich erschaudern lässt.

1.) Deinstalliere:
  • Ad-Aware (Schrott)
  • Apple Software Update (Spionage)
  • eMule (Virenschleuder)
  • Java(TM) 6 Update 12 (veraltet)
  • Spybot - Search & Destroy (Schrott)
  • SuperAntiSpyware (Dienst erfüllt, jetzt überflüssig)
  • Team Fortress 2 (die Quelle des Übels)
2.) Installiere:3.) Scripten mit Combofix
  • Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
KILLALL::

Driver::
Ad-Watch Connect Filter
GMSIPCI
NTACCESS
Lbd
Lavasoft Ad-Aware Service
Bonjour Service

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\eMule\\emule.exe"=-
"c:\\Programme\\GP4 Entpackt\\GP4.exe"=-
"c:\\Programme\\GP4 Entpackt\\GP4_alt.exe"=-
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
[-HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Registrierungsprogramm ausführen.lnk]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Ad-Watch"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"=-
"ctfmon.exe"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Lavasoft Ad-Aware Service]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ad-Watch]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SUPERAntiSpyware]

File::
C:\Programme\Bonjour\mDNSResponder.exe
c:\windows\Tasks\1-Klick-Wartung.job
c:\programme\eMule0.49b-Installer1.exe
c:\programme\aaw2008_11n.exe
c:\programme\MsgPlusLive-470.exe
c:\windows\system32\drivers\Lbd.sys
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\Drivers\32\lbd.sys
c:\windows\system32\perfh007.dat
c:\windows\system32\perfc007.dat
c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe

Folder::
C:\rsit
c:\programme\eMule
c:\programme\SUPERAntiSpyware
c:\dokumente und einstellungen\Admin\Anwendungsdaten\SUPERAntiSpyware.com
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
C:\Config.Msi

DirLook::
c:\programme\GP4 Entpackt
C:\Lan
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!
http://users.pandora.be/bluepatchy/m...s/CFScript.gif
  • Danach das Log von Combofix posten.


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Puma1408 19.06.2009 14:58
Die Programme habe ich deinstalliert und Java installiert.

CombiFix habe ich auch gemacht wie gewünscht, auch dieses Log ist zu lang fürs Forum. Hier der Link: Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de

lg Puma1408

john.doe 19.06.2009 15:25
Lasse bitte folgende Dateien bei Virustotal auswerten und poste die Ergebnisse:
Code:
c:\programme\GP4 Entpackt\Crackfiles\RegSetup.exe
c:\programme\GP4 Entpackt\Crackfiles\INSTALL.EXE
c:\programme\GP4 Entpackt\Crackfiles\GP4.exe
Die Situation ist jetzt verfahren. Stell deinen Sohn zur Rede. Soll ich alles Illegale löschen?

ciao, andreas

Puma1408 19.06.2009 18:35
Ich habe ihn darauf angesprochen, und er meinte, sein Freund habe ihm GARANTIERT es sei kein Virus :snyper:
Wie alle anderen seiner Spiele auch... :pfui:

Ergebnisse:
Code:
Datei INSTALL.EXE empfangen 2009.06.19 17:31:04 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 2/41 (4.88%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit ist zwischen 54 und 77 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:       
       
Antivirus        Version        letzte aktualisierung        Ergebnis
a-squared        4.5.0.18        2009.06.19        -
AhnLab-V3        5.0.0.2        2009.06.19        -
AntiVir        7.9.0.193        2009.06.19        -
Antiy-AVL        2.0.3.1        2009.06.19        -
Authentium        5.1.2.4        2009.06.19        -
Avast        4.8.1335.0        2009.06.18        -
AVG        8.5.0.339        2009.06.19        -
BitDefender        7.2        2009.06.19        -
CAT-QuickHeal        10.00        2009.06.19        (Suspicious) - DNAScan
ClamAV        0.94.1        2009.06.19        -
Comodo        1372        2009.06.19        -
DrWeb        5.0.0.12182        2009.06.19        -
eSafe        7.0.17.0        2009.06.18        -
eTrust-Vet        31.6.6569        2009.06.19        -
F-Prot        4.4.4.56        2009.06.19        -
F-Secure        8.0.14470.0        2009.06.19        -
Fortinet        3.117.0.0        2009.06.19        -
GData        19        2009.06.19        -
Ikarus        T3.1.1.59.0        2009.06.19        -
Jiangmin        11.0.706        2009.06.19        -
K7AntiVirus        7.10.768        2009.06.19        -
Kaspersky        7.0.0.125        2009.06.19        -
McAfee        5651        2009.06.19        -
McAfee+Artemis        5651        2009.06.19        -
McAfee-GW-Edition        6.7.6        2009.06.19        -
Microsoft        1.4803        2009.06.19        -
NOD32        4172        2009.06.19        -
Norman        6.01.09        2009.06.19        -
nProtect        2009.1.8.0        2009.06.19        -
Panda        10.0.0.16        2009.06.19        -
PCTools        4.4.2.0        2009.06.19        -
Prevx        3.0        2009.06.19        -
Rising        21.34.44.00        2009.06.19        -
Sophos        4.42.0        2009.06.19        -
Sunbelt        3.2.1858.2        2009.06.19        -
Symantec        1.4.4.12        2009.06.19        -
TheHacker        6.3.4.3.348        2009.06.19        -
TrendMicro        8.950.0.1094        2009.06.19        PAK_Generic.001
VBA32        3.12.10.7        2009.06.19        -
ViRobot        2009.6.19.1796        2009.06.19        -
VirusBuster        4.6.5.0        2009.06.19        -
weitere Informationen
File size: 725112 bytes
MD5...: d5d0cd9f9dedf96edb62bfa8668a3207
SHA1..: fbabe9d482a3595a0064d0ff7f83df055f994ded
SHA256: 388d67ee91ebe03d08e215dfacb00bf6a2ce66cd9dc1106929cc17f70da52dc5
ssdeep: 12288:6ADXMzMQO39myxsIuIqKA3W9rZM98nLGkUH3wavTgJ6+cdTPZtdB:6AqMQ
9yxIulMunLZ8AavMJ87B
PEiD..: PECompact v1.4x+
TrID..: File type identification
Win32 EXE PECompact compressed (generic) (76.8%)
Win32 Executable Generic (15.7%)
Generic Win/DOS Executable (3.7%)
DOS Executable Generic (3.6%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2f2a70
timedatestamp.....: 0x2a420000 (Fri Jun 19 15:40:48 1992)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
pec1 0x1000 0x274000 0x32800 7.93 53771fb00c4068298895533a9dc2702a
.rsrc 0x275000 0x130000 0x7e000 7.94 e0479347db52650767893d8bd1c0db3a
.rsrc 0x3a5000 0x1000 0x400 4.77 4fc3d8b0855d7a74c79a993a9fdcd77a

( 8 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualAlloc, VirtualFree, ExitProcess, GetModuleHandleA
> user32.dll: GetKeyboardType
> advapi32.dll: RegQueryValueExA
> oleaut32.dll: VariantChangeTypeEx
> gdi32.dll: UnrealizeObject
> ole32.dll: IsEqualGUID
> comctl32.dll: ImageList_SetIconSize
> shell32.dll: ShellExecuteA

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
packers (Kaspersky): PECompact
packers (F-Prot): PECompact
Code:
Datei RegSetup.exe empfangen 2009.06.19 17:32:45 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/41 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit ist zwischen 54 und 77 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:       
       
Antivirus        Version        letzte aktualisierung        Ergebnis
a-squared        4.5.0.18        2009.06.19        -
AhnLab-V3        5.0.0.2        2009.06.19        -
AntiVir        7.9.0.193        2009.06.19        -
Antiy-AVL        2.0.3.1        2009.06.19        -
Authentium        5.1.2.4        2009.06.19        -
Avast        4.8.1335.0        2009.06.18        -
AVG        8.5.0.339        2009.06.19        -
BitDefender        7.2        2009.06.19        -
CAT-QuickHeal        10.00        2009.06.19        -
ClamAV        0.94.1        2009.06.19        -
Comodo        1372        2009.06.19        -
DrWeb        5.0.0.12182        2009.06.19        -
eSafe        7.0.17.0        2009.06.18        -
eTrust-Vet        31.6.6569        2009.06.19        -
F-Prot        4.4.4.56        2009.06.19        -
F-Secure        8.0.14470.0        2009.06.19        -
Fortinet        3.117.0.0        2009.06.19        -
GData        19        2009.06.19        -
Ikarus        T3.1.1.59.0        2009.06.19        -
Jiangmin        11.0.706        2009.06.19        -
K7AntiVirus        7.10.768        2009.06.19        -
Kaspersky        7.0.0.125        2009.06.19        -
McAfee        5651        2009.06.19        -
McAfee+Artemis        5651        2009.06.19        -
McAfee-GW-Edition        6.7.6        2009.06.19        -
Microsoft        1.4803        2009.06.19        -
NOD32        4172        2009.06.19        -
Norman        6.01.09        2009.06.19        -
nProtect        2009.1.8.0        2009.06.19        -
Panda        10.0.0.16        2009.06.19        -
PCTools        4.4.2.0        2009.06.19        -
Prevx        3.0        2009.06.19        -
Rising        21.34.44.00        2009.06.19        -
Sophos        4.42.0        2009.06.19        -
Sunbelt        3.2.1858.2        2009.06.19        -
Symantec        1.4.4.12        2009.06.19        -
TheHacker        6.3.4.3.348        2009.06.19        -
TrendMicro        8.950.0.1094        2009.06.19        -
VBA32        3.12.10.7        2009.06.19        -
ViRobot        2009.6.19.1796        2009.06.19        -
VirusBuster        4.6.5.0        2009.06.19        -
weitere Informationen
File size: 41213 bytes
MD5...: 5966c788ef0c06c4c85e2f6a50fda8cc
SHA1..: 59a2db1bd4649c337a9b33958b9ed6e05ec04a2c
SHA256: 5cd31def4b8dccb3f6e8a595a4962534b4308355ae1975882a0e08e967e210e3
ssdeep: 384:2pkyMFml9CIxTEVS6NwyM8ww6yWtsnoap6y+HM3J/wYJraWmo0WI2OBKdQmi
L:21rNEV1wDwznoawx4JokrPmoLbOuM
PEiD..: Armadillo v1.71
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x220f
timedatestamp.....: 0x39473724 (Wed Jun 14 07:41:24 2000)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x54bc 0x6000 6.14 3718687dc0933d1f7526de0be822c7ca
.rdata 0x7000 0xbae 0x1000 4.31 b18007ad35623812acc7f91a631f990c
.data 0x8000 0x2138 0x1000 2.29 969fc2fac1a41a284af404fa92b1d9d3
.rsrc 0xb000 0x9f8 0x1000 2.55 2478bc93414089f9e8596bcf7bbaafb8

( 4 imports )
> KERNEL32.dll: GetTempFileNameA, WriteFile, GetWindowsDirectoryA, GetCurrentDirectoryA, DeleteFileA, CreateFileA, GetFileSize, SetFilePointer, ReadFile, GetCommandLineA, GetTempPathA, GetStartupInfoA, UnhandledExceptionFilter, GetModuleFileNameA, GetStringTypeW, GetStringTypeA, FlushFileBuffers, LCMapStringA, MultiByteToWideChar, LCMapStringW, LoadLibraryA, GetProcAddress, SetStdHandle, GetACP, GetCPInfo, HeapFree, HeapAlloc, GetModuleHandleA, CloseHandle, GetVersion, ExitProcess, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, TerminateProcess, GetCurrentProcess, GetStdHandle, GetOEMCP, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetFileType, RtlUnwind, GetLastError, GetFileAttributesA, GetExitCodeProcess, WaitForSingleObject, CreateProcessA
> USER32.dll: SetWindowPos, EndDialog, GetSystemMetrics, GetWindowRect, DialogBoxParamA, GetDlgItem, SendMessageA, MessageBoxA, KillTimer, EnableWindow, SetWindowTextA, SetTimer
> ADVAPI32.dll: RegCloseKey, RegEnumKeyA, RegEnumValueA, RegOpenKeyExA, RegDeleteKeyA, RegDeleteValueA
> COMCTL32.dll: -

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
Code:
Datei GP4.exe empfangen 2009.06.19 17:35:53 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/41 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 38 und 55 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:       
       
Antivirus        Version        letzte aktualisierung        Ergebnis
a-squared        4.5.0.18        2009.06.19        -
AhnLab-V3        5.0.0.2        2009.06.19        -
AntiVir        7.9.0.193        2009.06.19        -
Antiy-AVL        2.0.3.1        2009.06.19        -
Authentium        5.1.2.4        2009.06.19        -
Avast        4.8.1335.0        2009.06.18        -
AVG        8.5.0.339        2009.06.19        -
BitDefender        7.2        2009.06.19        -
CAT-QuickHeal        10.00        2009.06.19        -
ClamAV        0.94.1        2009.06.19        -
Comodo        1373        2009.06.19        -
DrWeb        5.0.0.12182        2009.06.19        -
eSafe        7.0.17.0        2009.06.18        -
eTrust-Vet        31.6.6569        2009.06.19        -
F-Prot        4.4.4.56        2009.06.19        -
F-Secure        8.0.14470.0        2009.06.19        -
Fortinet        3.117.0.0        2009.06.19        -
GData        19        2009.06.19        -
Ikarus        T3.1.1.59.0        2009.06.19        -
Jiangmin        11.0.706        2009.06.19        -
K7AntiVirus        7.10.768        2009.06.19        -
Kaspersky        7.0.0.125        2009.06.19        -
McAfee        5651        2009.06.19        -
McAfee+Artemis        5651        2009.06.19        -
McAfee-GW-Edition        6.7.6        2009.06.19        -
Microsoft        1.4803        2009.06.19        -
NOD32        4172        2009.06.19        -
Norman        6.01.09        2009.06.19        -
nProtect        2009.1.8.0        2009.06.19        -
Panda        10.0.0.16        2009.06.19        -
PCTools        4.4.2.0        2009.06.19        -
Prevx        3.0        2009.06.19        -
Rising        21.34.44.00        2009.06.19        -
Sophos        4.42.0        2009.06.19        -
Sunbelt        3.2.1858.2        2009.06.19        -
Symantec        1.4.4.12        2009.06.19        -
TheHacker        6.3.4.3.348        2009.06.19        -
TrendMicro        8.950.0.1094        2009.06.19        -
VBA32        3.12.10.7        2009.06.19        -
ViRobot        2009.6.19.1796        2009.06.19        -
VirusBuster        4.6.5.0        2009.06.19        -
weitere Informationen
File size: 6250496 bytes
MD5...: 899b8fa1d7717927765ab01fd3d3b71f
SHA1..: c48f482e738c5a31bafc0631c90c56f25ac83788
SHA256: 1a33e8f1cc789a1c18775d351be8a32c7986e809a72401449190582f0e8bf7fc
ssdeep: 49152:BqktzzgIq490EQEo/cwa8Z8210cwKxqd:BqkhgI59hrS0cHq
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (75.0%)
Win32 Executable Generic (16.9%)
Generic Win/DOS Executable (3.9%)
DOS Executable Generic (3.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1db0b6
timedatestamp.....: 0x3cfc01a2 (Mon Jun 03 23:54:10 2002)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1ec3e6 0x1ed000 6.74 5a6fed0d8218a6ee7f0b15e57971693a
.rdata 0x1ee000 0x10901 0x11000 5.70 b971fa4c761206e0411715ba4da28356
.data 0x1ff000 0x5432e5 0x3ed000 1.13 7aed99d7e4d5960e6a56f1fec0be1f06
.data1 0x743000 0x8e0 0x1000 2.52 bd4929bb4ee6547e6217d41c6806e321
.rsrc 0x744000 0xcee 0x1000 4.65 e67c5d6693a7432e585c22e058fd06b1
stxt774 0x745000 0x2077 0x3000 0.00 4072783b8efb99a9e5817067d68f61c6
stxt371 0x748000 0x3af4 0x4000 2.14 c94a7b62da55df1017b85b23663ba43a

( 13 imports )
> d3d8.dll: Direct3DCreate8
> DINPUT8.dll: DirectInput8Create
> KERNEL32.dll: FindNextFileA, GetFileAttributesA, FileTimeToDosDateTime, WriteFile, GlobalHandle, GetSystemInfo, DebugBreak, SetFilePointer, GetLocalTime, DeleteFileA, FindClose, GetFileTime, MoveFileA, GetVolumeInformationA, InterlockedIncrement, HeapValidate, InterlockedDecrement, GetTempFileNameA, GetTempPathA, IsProcessorFeaturePresent, LoadLibraryA, GetProcAddress, MapViewOfFile, CreateFileMappingA, CreateFileW, UnmapViewOfFile, SetEnvironmentVariableA, CompareStringW, CompareStringA, GetLocaleInfoW, SetEndOfFile, FlushFileBuffers, GetStringTypeW, GetStringTypeA, IsBadCodePtr, IsBadReadPtr, SetUnhandledExceptionFilter, GetUserDefaultLCID, EnumSystemLocalesA, GetLocaleInfoA, IsValidCodePage, IsValidLocale, GetEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsW, FreeEnvironmentStringsA, UnhandledExceptionFilter, LCMapStringW, LCMapStringA, GetStdHandle, SetHandleCount, GetFileType, SetStdHandle, IsBadWritePtr, VirtualAlloc, VirtualFree, HeapCreate, HeapDestroy, GetEnvironmentVariableA, GetModuleFileNameA, RaiseException, GetOEMCP, GetACP, GetCPInfo, TlsGetValue, SetLastError, TlsAlloc, TlsSetValue, GetSystemTimeAsFileTime, TerminateProcess, ExitProcess, GetCommandLineA, GetStartupInfoA, GetSystemTime, GetTimeZoneInformation, FileTimeToLocalFileTime, FileTimeToSystemTime, MultiByteToWideChar, GetCurrentProcess, GetVersionExA, GlobalMemoryStatus, GetFullPathNameA, GetCurrentThreadId, SetErrorMode, CreateSemaphoreA, GetVersion, CreateEventA, GetFileSize, ReadFile, CloseHandle, GetTickCount, GetLogicalDrives, GetDriveTypeA, FindFirstFileA, GetModuleHandleA, lstrcpyA, lstrcatA, GlobalFree, GlobalAlloc, Sleep, QueryPerformanceFrequency, QueryPerformanceCounter, GetPrivateProfileStringA, CreateFileA, HeapSize, DeleteCriticalSection, LeaveCriticalSection, InitializeCriticalSection, EnterCriticalSection, SetFileAttributesA, RtlUnwind, WaitForSingleObject, ReleaseMutex, CreateMutexA, OutputDebugStringA, GetLastError, CreateDirectoryA, SetCurrentDirectoryA, GetCurrentDirectoryA, HeapReAlloc, HeapFree, HeapAlloc, GetProcessHeap, WideCharToMultiByte
> USER32.dll: PtInRect, ClientToScreen, PostMessageA, LoadImageA, SetRect, GetAsyncKeyState, SetCursorPos, GetCursorPos, MoveWindow, GetWindowRect, GetWindowLongA, GetClassLongA, MessageBoxA, GetClientRect, SetForegroundWindow, MessageBoxExA, DispatchMessageA, TranslateMessage, GetMessageA, PeekMessageA, ShowWindow, CharUpperA, CharLowerA, MapVirtualKeyA, GetKeyNameTextA, GetIconInfo, ScreenToClient, ShowCursor, DefWindowProcA, BeginPaint, EndPaint, PostQuitMessage, ReplyMessage, LoadIconA, RegisterClassExA, AdjustWindowRectEx, CreateWindowExA, UpdateWindow, SetFocus, LoadCursorA, SetCursor, GetDC, ReleaseDC, FindWindowA, SystemParametersInfoA
> GDI32.dll: GetDIBits, GetStockObject, GetSystemPaletteUse, GetSystemPaletteEntries, LineTo, MoveToEx, SelectClipRgn, CreateRectRgn, GetTextExtentPoint32A, TextOutA, EndPage, EndDoc, GetDeviceCaps, CreateFontIndirectA, GetTextMetricsA, CreatePen, CreateDCA, StartDocA, StartPage, GetObjectA, CreateCompatibleDC, CreateDIBSection, SelectObject, SetTextColor, SetBkColor, SetTextAlign, SetMapMode, GetTextExtentPoint32W, DeleteDC, CreateScalableFontResourceA, AddFontResourceA, CreateFontA, DeleteObject, RemoveFontResourceA, ExtTextOutW
> WINSPOOL.DRV: OpenPrinterA, DocumentPropertiesA, ClosePrinter, EnumPrintersA, PrinterProperties
> ADVAPI32.dll: RegCloseKey, RegOpenKeyExA, RegSetValueExA, RegCreateKeyExA, RegOpenKeyA, RegQueryValueExA
> ole32.dll: CoCreateInstance, CoUninitialize, CoInitializeEx
> DINPUT.dll: DirectInputCreateA
> WINMM.dll: timeGetTime, timeKillEvent, timeGetDevCaps, timeSetEvent, joyGetNumDevs, joyGetPosEx, timeEndPeriod, timeBeginPeriod, joyGetDevCapsA
> DSOUND.dll: -, -
> binkw32.dll: _BinkOpenDirectSound@4, _BinkWait@4, _BinkClose@4, _BinkSetSoundSystem@8, _BinkService@4, _BinkDoFrame@4, _BinkGoto@12, _BinkCopyToBuffer@28, _BinkSetVolume@12, _BinkOpen@8, _BinkNextFrame@4
> WSOCK32.dll: -, -, -, -

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-

Danke für deine Hilfe!!!!!!

lg Puma1408

Ps: Ist viel Illegales drauf??

john.doe 19.06.2009 19:04
Zitat:
Ist viel Illegales drauf??
Das sind nur 2 Ordner, da ist aber sehr viel drin. :D

Ich bin immer häufiger dabei, die Eltern aufzuklären: Crack (Software) ? Wikipedia

Bei einem legalen Spiel ist mir noch nicht der Begriff Crackfiles über den Weg gelaufen. :)

Wenn du sie los werden möchtest, dann geht es hier weiter:

Scripten mit Combofix
  • Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
KILLALL::

File::
c:\programme\GP4 Entpackt.7z

Folder::
c:\programme\GP4 Entpackt
C:\Lan
c:\programme\Spybot - Search & Destroy
c:\programme\Lavasoft
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!
http://users.pandora.be/bluepatchy/m...s/CFScript.gif
  • Danach das Log von Combofix posten.


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Puma1408 19.06.2009 21:22
Mein Sohn will dieses Spiel behalten... Kann ich es ohne Bedenken drauflassen?? Oer ist es gefährlich, dann wird es natürlich sofort gelöscht ;)

Wie schaut es eigentlich nun mit dem Virus aus? Bin ich ihn los??

lg Puma1408

john.doe 19.06.2009 21:35
Zitat:
Oer ist es gefährlich, dann wird es natürlich sofort gelöscht
Wäre schon besser, ansonsten muss ich nämlich folgendes anordnen: http://www.trojaner-board.de/51262-a...sicherung.html

Beihilfe zum Diebstahl leisten wir hier nicht.
Zitat:
Wie schaut es eigentlich nun mit dem Virus aus? Bin ich ihn los??
Die Frage beantworte ich dir, wenn ich das Log von ComboFix sehe.

ciao, andreas

Puma1408 19.06.2009 22:15
Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de <--- Das CombiFix Log.

Eine Beschwerde hat mein Pc noch: die Taskleiste ist immer verstellt, dh. der "Schnellstart" ist oft einfach verschwunden, wieso??

lg

john.doe 19.06.2009 22:30
Start => Ausführen => combofix /u => Ok
Zitat:
dh. der "Schnellstart" ist oft einfach verschwunden, wieso??
Schlechtes Anzeichen. Was heißt oft? Ist das reproduzierbar oder hängt das vom Zufall ab?

GMER - Rootkit Detection

http://pic.leech.it/i/ab0bc/635985fgmer60.jpg
  • Lade Gmer von GMER - Rootkit Detector and Remover
  • Klick auf Download EXE und speichere es auf den Desktop
  • Doppelklick auf das geladene Programm.
  • Drücke Scan, der Vorgang kann je nach System 3 - 10min dauern
  • nach Beendigung des Scan, drücke "Copy"
  • nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. Materialordner hoch und poste den Link.
  • Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

ciao, andreas

Puma1408 19.06.2009 22:34
Werde diesen Schritt morgen durchführen, es ist schon spät...

Heute und gestern 3 mal, 1 mal nach einem ComboFix Scan, und die Taskleisten Einstellungen sind auch falsch, dh. der Media Player wird nicht in so ein "Playerfenster" minimiert, sondern normal, wie zb. der Mozilla auch.

lg Puma1408

john.doe 19.06.2009 22:35
Das macht ComboFix, der setzt viele der Windowseinstellungen zurück. Die musst du nach ComboFix einmal wieder anpassen und das war es dann.

ciao, andreas

Puma1408 19.06.2009 22:37
Also hat dies nichts mit nem Rootkit zu tun?
Soll ich den GMER Scan trotzdem machen?

lg Puma1408

john.doe 19.06.2009 22:44
Den Effekt mit der fehlenden Quickstartleiste gibt es auch im Zusammenhang mit Rootkits, aber das wurde hier von ComboFix verursacht. Neues Programm:

1.) http://www.trojaner-board.de/51187-a...i-malware.html

2.) Poste ein neues HJT-Log.

ciao, andreas

Puma1408 20.06.2009 09:33
Mann ist das jetzt peinlich: Ich habe schon wieder nen neuen Trojaner, habe den Rechner in den letzten 2 Tagen aber nur für die Scans und für Trojaner-Board verwendet...

In der Datei 'C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe.vir'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben :snyper:

Virustotal sagt dazu:
Code:
Datei mbam-setup.exe.vir empfangen 2009.06.20 08:43:23 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 4/41 (9.76%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit ist zwischen 58 und 83 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:       
       
Antivirus        Version        letzte aktualisierung        Ergebnis
a-squared        4.5.0.18        2009.06.20        Trojan.Trash!IK
AhnLab-V3        5.0.0.2        2009.06.19        -
AntiVir        7.9.0.193        2009.06.19        TR/Trash.Gen
Antiy-AVL        2.0.3.1        2009.06.19        -
Authentium        5.1.2.4        2009.06.19        -
Avast        4.8.1335.0        2009.06.19        -
AVG        8.5.0.339        2009.06.20        -
BitDefender        7.2        2009.06.20        -
CAT-QuickHeal        10.00        2009.06.19        -
ClamAV        0.94.1        2009.06.20        -
Comodo        1377        2009.06.20        -
DrWeb        5.0.0.12182        2009.06.20        -
eSafe        7.0.17.0        2009.06.18        -
eTrust-Vet        31.6.6570        2009.06.19        -
F-Prot        4.4.4.56        2009.06.19        -
F-Secure        8.0.14470.0        2009.06.19        -
Fortinet        3.117.0.0        2009.06.19        -
GData        19        2009.06.20        -
Ikarus        T3.1.1.59.0        2009.06.20        Trojan.Trash
Jiangmin        11.0.706        2009.06.20        -
K7AntiVirus        7.10.768        2009.06.19        -
Kaspersky        7.0.0.125        2009.06.20        -
McAfee        5651        2009.06.19        -
McAfee+Artemis        5651        2009.06.19        -
McAfee-GW-Edition        6.7.6        2009.06.19        Trojan.Trash.Gen
Microsoft        1.4803        2009.06.20        -
NOD32        4173        2009.06.20        -
Norman        6.01.09        2009.06.19        -
nProtect        2009.1.8.0        2009.06.20        -
Panda        10.0.0.16        2009.06.19        -
PCTools        4.4.2.0        2009.06.19        -
Prevx        3.0        2009.06.20        -
Rising        21.34.51.00        2009.06.20        -
Sophos        4.42.0        2009.06.20        -
Sunbelt        3.2.1858.2        2009.06.20        -
Symantec        1.4.4.12        2009.06.20        -
TheHacker        6.3.4.3.348        2009.06.19        -
TrendMicro        8.950.0.1094        2009.06.19        -
VBA32        3.12.10.7        2009.06.20        -
ViRobot        2009.6.19.1796        2009.06.19        -
VirusBuster        4.6.5.0        2009.06.19        -
weitere Informationen
File size: 3561743 bytes
MD5...: e9071f4586c3560f919e51e6b4f10312
SHA1..: 09029c4125de097cbbb08f919a032547efee0d80
SHA256: f4ccfaec093b81ee6b3f78884eb75b6b251bfdb140fd6e20ad8093b23977e9a9
ssdeep: 6:ivmtOq2Vg3F+X32xlt4t2o0vggmbty4uM7sTyWTb/uTi7WpLW//+/aubMaLL:3
O9GSGB4T0EtyVMGfYLWuSyMaLL
PEiD..: -
TrID..: File type identification
Autodesk FLIC Image File (extensions: flc, fli, cel) (100.0%)
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set
-


Danke schon mal.
Lg Puma1408


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:55 Uhr.
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27