Trojaner-Board - globalroot\systemroot\system32\SKYNETueityvjt.dll

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - globalroot\systemroot\system32\SKYNETueityvjt.dll (https://www.trojaner-board.de/74348-globalroot-systemroot-system32-skynetueityvjt-dll.html)

globalroot\systemroot\system32\SKYNETueityvjt.dll

Hallo,
ich habe seit heute ein Problem mit meinem Laptop
Beim Hochfahren, sowie beim Arbeiten und beim Öffnen von verschiedenen Programmen erscheint diese Nachricht:

globalroot\systemroot\system32\SKYNETueityvjt.dll ist entweder nicht für die Ausführung unter Windows vorgesehen oder enthält einen Fehler. Installieren Sie das Programm mit den Originalinstallationsmedien erneut, oder wenden Sie sich an den Systemadministrator oder Softwarelieferanten, um Unterstützung zu erhalten.

und ich weiss nich wie ich das machen soll. hab mich schon im Internet erkundig aber da ist nichts bekannt zu diesem Problem. Auch mein antivirus Programm (Norton AntiVirus) - aktuelle Version - funktioniert dadurch nicht mehr.....

Wer kann mir helfen?!?!?

Hi,

das ist ein sehr neues Rootkit, MAM sollte Probleme damit haben (und einige andere Tools auch)...
Das kann heiter werden...

Zuerst GMER und RSIT:

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.

* Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/)
* speichere es auf Deinem Desktop.
* Starte mit Doppelklick die RSIT.exe.
* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

chris
Ps: CF kommt dann später...

Hallo Chris4You.

Habe das gleiche Problem wie Steglitzer. Habe deine ersten Schritte ausgeführt, kann aber den logfile und infofile nicht reinkopieren, da er zu gross ist.

Kannst du mir trotzdem helfen?

Danke und Gruss

Hi,

Fileuplod:
http://www.file-upload.net/, hochladen und den Link posten, den Löschlink als "PrivateMail" an mich...

chris

Habs hinbekommen ... danke für die Hilfe!!!

Hier ist nun mein Leselink meines log-files:

File-Upload.net - log.txt

Gruss

Hi,

hmm...
CF:
Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird
Hinweis: unter : C:\WINDOWS\erdnt
wird ein Backup angelegt.
Alternative downloads: http://subs.geekstogo.com/ComboFix.exe

Danach MAM (Vorher runterladen, installieren, updaten dann offline gehen und CF starten, wenn der fertig ist MAM):
Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles bereinigen lassen! Log posten.
Alternativer Download: http://filepony.de/download-malwarebytes_anti_malware/, http://www.gt500.org/malwarebytes/mbam.jsp

chris
Ps.: Hat Gmer was gemeldet...?

Hier mein Leselink des Combo-Fix-log:

File-Upload.net - ComboFix.txt

Gruss

Hi,

das sind schon recht ordentlich aus...

Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles bereinigen lassen! Log posten.
Alternativer Download: http://filepony.de/download-malwarebytes_anti_malware/, http://www.gt500.org/malwarebytes/mbam.jsp

chris

Hi.

Habe den Fullscan gemacht und bereinigen lassen, aber vergessen den log zu speichern... jetzt finde ich ihn nicht mehr. auch nicht über suchen... Scheisse :-)

Er hat 11 infizierte Dateien gefunden und unter Quarantäne gestellt

Muss ich jetzt noch was machen?

Gruss

Hallo,

waren es Dateien oder auch Reg.-Einträge...?
Prevx:
http://www.prevx.com/freescan.asp
Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters...
(Und halte diesmal Deinen Zeigefinger im Zaum ;o)...

chris
Ps.: Starte mal MAM, gehe auf den Reiter "Scan-Berichte" und schaue ob dort der Scan auftaucht...

Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2320
Windows 6.0.6002 Service Pack 2

22.06.2009 16:53:39
mbam-log-2009-06-22 (16-53-39).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 243697
Laufzeit: 1 hour(s), 39 minute(s), 55 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{d97fc677-694d-4a75-ac89-a5b85c2bcfed} (Adware.BullseyeToolbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{6226ba26-c017-4007-928c-de9715c6fa67} (Adware.BullseyeToolbar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d97fc677-694d-4a75-ac89-a5b85c2bcfed} (Adware.BullseyeToolbar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6226ba26-c017-4007-928c-de9715c6fa67} (Adware.BullseyeToolbar) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{6226ba26-c017-4007-928c-de9715c6fa67} (Adware.BullseyeToolbar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{6226ba26-c017-4007-928c-de9715c6fa67} (Adware.BullseyeToolbar) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Qoobox\quarantine\C\program files\ietoolbar\bullseye tool bar\tbhelper.dll.vir (Adware.BullseyeToolbar) -> Quarantined and deleted successfully.
c:\Qoobox\quarantine\C\Windows\dsww06562.exe.vir (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Qoobox\quarantine\C\Windows\ljug76803.exe.vir (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\Users\stefano saeger\downloads\documents\downloads\doktor_v05 (1).exe (Rogue.Installer) -> Quarantined and deleted successfully.
c:\Users\stefano saeger\downloads\documents\downloads\doktor_v05.exe (Rogue.Installer) -> Quarantined and deleted successfully.

Der Screenshot folgt später...

Hi Chris

Schicke dir den Link des Screenshots auf deine private Mail

Hi,

lass die beiden Files mal bei virustotal prüfen...

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche die von PrevX gefunden Dateien

Code:

startreg.exe

VAIO.LNK

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

chris

startreg.exe:

Datei startreg.exe empfangen 2009.06.23 09:12:22 (UTC)
Status: Beendet
Ergebnis: 10/41 (24.4%)
Filter
Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.18 2009.06.23 -
AhnLab-V3 5.0.0.2 2009.06.23 Win-Trojan/Goldun.368128.B
AntiVir 7.9.0.193 2009.06.23 -
Antiy-AVL 2.0.3.1 2009.06.23 -
Authentium 5.1.2.4 2009.06.23 -
Avast 4.8.1335.0 2009.06.22 -
AVG 8.5.0.339 2009.06.23 -
BitDefender 7.2 2009.06.23 Trojan.Generic.110981
CAT-QuickHeal 10.00 2009.06.22 -
ClamAV 0.94.1 2009.06.23 -
Comodo 1397 2009.06.23 Unclassified Malware
DrWeb 5.0.0.12182 2009.06.23 -
eSafe 7.0.17.0 2009.06.22 -
eTrust-Vet 31.6.6573 2009.06.22 -
F-Prot 4.4.4.56 2009.06.22 -
F-Secure 8.0.14470.0 2009.06.23 -
Fortinet 3.117.0.0 2009.06.23 -
GData 19 2009.06.23 Trojan.Generic.110981
Ikarus T3.1.1.59.0 2009.06.23 -
Jiangmin 11.0.706 2009.06.23 -
K7AntiVirus 7.10.768 2009.06.19 Trojan-Spy.Win32.Goldun
Kaspersky 7.0.0.125 2009.06.23 -
McAfee 5654 2009.06.22 Generic.dx
McAfee+Artemis 5654 2009.06.22 Generic.dx
McAfee-GW-Edition 6.7.6 2009.06.23 Trojan.Spy.LooksLike.Goldun
Microsoft 1.4803 2009.06.23 -
NOD32 4180 2009.06.23 -
Norman 6.01.09 2009.06.22 -
nProtect 2009.1.8.0 2009.06.23 -
Panda 10.0.0.16 2009.06.23 Trj/Banker.LSW
PCTools 4.4.2.0 2009.06.22 -
Prevx 3.0 2009.06.23 Medium Risk Malware
Rising 21.35.11.00 2009.06.23 -
Sophos 4.42.0 2009.06.23 -
Sunbelt 3.2.1858.2 2009.06.23 -
Symantec 1.4.4.12 2009.06.23 -
TheHacker 6.3.4.3.351 2009.06.22 -
TrendMicro 8.950.0.1094 2009.06.23 -
VBA32 3.12.10.7 2009.06.23 -
ViRobot 2009.6.23.1800 2009.06.23 -
VirusBuster 4.6.5.0 2009.06.22 -
weitere Informationen
File size: 368640 bytes
MD5...: 47fef259fb9cae50ccc63549c43326ca
SHA1..: 3afcadacfde7559a29ab5751e666c217dd3b283a
SHA256: 2f4cc9f57ac22a4a3ed53c4ee3cdc3aa46a058026fd10c8109ed73f352078c0d
ssdeep: 6144:o7zJVF4Obrxqph4s8stCLJi3xTFdQ/dmd6lyhc4NOwMWIT6YIzaulAq4Rdl
:UJ/4ObrApys7RhT3ydm/ODWIT6YiBAqS
PEiD..: BobSoft Mini Delphi -> BoB / BobSoft
TrID..: File type identification
Win32 Executable Borland Delphi 7 (69.1%)
Win32 Executable Borland Delphi 6 (27.0%)
Win32 Executable Delphi generic (1.5%)
Win32 Executable Generic (0.8%)
Win32 Dynamic Link Library (generic) (0.7%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4cb20
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x4bb68 0x4bc00 6.53 41a75f8c6509eb84a14a36e2029d7847
DATA 0x4d000 0x1124 0x1200 4.05 1e6f8cd314fb1df8ddccd2c73e743306
BSS 0x4f000 0xbd9 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x50000 0x1f62 0x2000 4.98 c05347d75a6b855bdac03f4218b11edb
.tls 0x52000 0x10 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x53000 0x18 0x200 0.21 5f84fd7a6665e7dac4c7258919da69b9
.reloc 0x54000 0x5534 0x5600 6.67 75ba1c119b744b555d7e499511da5ebf
.rsrc 0x5a000 0x5600 0x5600 4.21 91f8d460e125a261258b975b2ec5e088

( 14 imports )
> kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetVersion, GetCurrentThreadId, InterlockedDecrement, InterlockedIncrement, VirtualQuery, WideCharToMultiByte, MultiByteToWideChar, lstrlenA, lstrcpynA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle
> user32.dll: GetKeyboardType, LoadStringA, MessageBoxA, CharNextA
> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey
> oleaut32.dll: SysFreeString, SysReAllocStringLen, SysAllocStringLen
> kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA
> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey
> kernel32.dll: lstrcpyA, WriteFile, WaitForSingleObject, VirtualQuery, VirtualAlloc, Sleep, SizeofResource, SetThreadLocale, SetFilePointer, SetEvent, SetErrorMode, SetEndOfFile, ResetEvent, ReadFile, MulDiv, LockResource, LoadResource, LoadLibraryA, LeaveCriticalSection, InitializeCriticalSection, GlobalUnlock, GlobalReAlloc, GlobalHandle, GlobalLock, GlobalFree, GlobalFindAtomA, GlobalDeleteAtom, GlobalAlloc, GlobalAddAtomA, GetVersionExA, GetVersion, GetTickCount, GetThreadLocale, GetSystemInfo, GetStringTypeExA, GetStdHandle, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLocalTime, GetLastError, GetFullPathNameA, GetDiskFreeSpaceA, GetDateFormatA, GetCurrentThreadId, GetCurrentProcessId, GetCPInfo, GetACP, FreeResource, InterlockedExchange, FreeLibrary, FormatMessageA, FindResourceA, EnumCalendarInfoA, EnterCriticalSection, DeleteCriticalSection, CreateThread, CreateFileA, CreateEventA, CompareStringA, CloseHandle
> version.dll: VerQueryValueA, GetFileVersionInfoSizeA, GetFileVersionInfoA
> gdi32.dll: UnrealizeObject, StretchBlt, SetWindowOrgEx, SetViewportOrgEx, SetTextColor, SetStretchBltMode, SetROP2, SetPixel, SetDIBColorTable, SetBrushOrgEx, SetBkMode, SetBkColor, SelectPalette, SelectObject, SaveDC, RestoreDC, RectVisible, RealizePalette, PatBlt, MoveToEx, MaskBlt, LineTo, IntersectClipRect, GetWindowOrgEx, GetTextMetricsA, GetTextExtentPoint32A, GetSystemPaletteEntries, GetStockObject, GetPixel, GetPaletteEntries, GetObjectA, GetDeviceCaps, GetDIBits, GetDIBColorTable, GetDCOrgEx, GetCurrentPositionEx, GetClipBox, GetBrushOrgEx, GetBitmapBits, ExcludeClipRect, DeleteObject, DeleteDC, CreateSolidBrush, CreatePenIndirect, CreatePalette, CreateHalftonePalette, CreateFontIndirectA, CreateDIBitmap, CreateDIBSection, CreateCompatibleDC, CreateCompatibleBitmap, CreateBrushIndirect, CreateBitmap, BitBlt
> user32.dll: CreateWindowExA, WindowFromPoint, WinHelpA, WaitMessage, UpdateWindow, UnregisterClassA, UnhookWindowsHookEx, TranslateMessage, TranslateMDISysAccel, TrackPopupMenu, SystemParametersInfoA, ShowWindow, ShowScrollBar, ShowOwnedPopups, ShowCursor, SetWindowsHookExA, SetWindowPos, SetWindowPlacement, SetWindowLongA, SetTimer, SetScrollRange, SetScrollPos, SetScrollInfo, SetRect, SetPropA, SetParent, SetMenuItemInfoA, SetMenu, SetForegroundWindow, SetFocus, SetCursor, SetClassLongA, SetCapture, SetActiveWindow, SendMessageA, ScrollWindow, ScreenToClient, RemovePropA, RemoveMenu, ReleaseDC, ReleaseCapture, RegisterWindowMessageA, RegisterClipboardFormatA, RegisterClassA, RedrawWindow, PtInRect, PostQuitMessage, PostMessageA, PeekMessageA, OffsetRect, OemToCharA, MessageBoxA, MapWindowPoints, MapVirtualKeyA, LoadStringA, LoadKeyboardLayoutA, LoadIconA, LoadCursorA, LoadBitmapA, KillTimer, IsZoomed, IsWindowVisible, IsWindowEnabled, IsWindow, IsRectEmpty, IsIconic, IsDialogMessageA, IsChild, InvalidateRect, IntersectRect, InsertMenuItemA, InsertMenuA, InflateRect, GetWindowThreadProcessId, GetWindowTextA, GetWindowRect, GetWindowPlacement, GetWindowLongA, GetWindowDC, GetTopWindow, GetSystemMetrics, GetSystemMenu, GetSysColorBrush, GetSysColor, GetSubMenu, GetScrollRange, GetScrollPos, GetScrollInfo, GetPropA, GetParent, GetWindow, GetMenuStringA, GetMenuState, GetMenuItemInfoA, GetMenuItemID, GetMenuItemCount, GetMenu, GetLastActivePopup, GetKeyboardState, GetKeyboardLayoutList, GetKeyboardLayout, GetKeyState, GetKeyNameTextA, GetIconInfo, GetForegroundWindow, GetFocus, GetDesktopWindow, GetDCEx, GetDC, GetCursorPos, GetCursor, GetClientRect, GetClassNameA, GetClassInfoA, GetCapture, GetActiveWindow, FrameRect, FindWindowA, FillRect, EqualRect, EnumWindows, EnumThreadWindows, EndPaint, EnableWindow, EnableScrollBar, EnableMenuItem, DrawTextA, DrawMenuBar, DrawIconEx, DrawIcon, DrawFrameControl, DrawEdge, DispatchMessageA, DestroyWindow, DestroyMenu, DestroyIcon, DestroyCursor, DeleteMenu, DefWindowProcA, DefMDIChildProcA, DefFrameProcA, CreatePopupMenu, CreateMenu, CreateIcon, ClientToScreen, CheckMenuItem, CallWindowProcA, CallNextHookEx, BeginPaint, CharNextA, CharLowerA, CharToOemA, AdjustWindowRectEx, ActivateKeyboardLayout
> kernel32.dll: Sleep
> oleaut32.dll: SafeArrayPtrOfIndex, SafeArrayGetUBound, SafeArrayGetLBound, SafeArrayCreate, VariantChangeType, VariantCopy, VariantClear, VariantInit
> comctl32.dll: ImageList_SetIconSize, ImageList_GetIconSize, ImageList_Write, ImageList_Read, ImageList_GetDragImage, ImageList_DragShowNolock, ImageList_SetDragCursorImage, ImageList_DragMove, ImageList_DragLeave, ImageList_DragEnter, ImageList_EndDrag, ImageList_BeginDrag, ImageList_Remove, ImageList_DrawEx, ImageList_Draw, ImageList_GetBkColor, ImageList_SetBkColor, ImageList_ReplaceIcon, ImageList_Add, ImageList_GetImageCount, ImageList_Destroy, ImageList_Create
> shell32.dll: ShellExecuteA

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=47fef259fb9cae50ccc63549c43326ca' target='_blank'>http://www.threatexpert.com/report.aspx?md5=47fef259fb9cae50ccc63549c43326ca</a>
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=4590279E0087EFA8A056054D8E37910093217E9A' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=4590279E0087EFA8A056054D8E37910093217E9A</a>

Vaio.LNK:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.18 2009.06.23 -
AhnLab-V3 5.0.0.2 2009.06.23 Win-Trojan/Goldun.368128.B
AntiVir 7.9.0.193 2009.06.23 -
Antiy-AVL 2.0.3.1 2009.06.23 -
Authentium 5.1.2.4 2009.06.23 -
Avast 4.8.1335.0 2009.06.22 -
AVG 8.5.0.339 2009.06.23 -
BitDefender 7.2 2009.06.23 Trojan.Generic.110981
CAT-QuickHeal 10.00 2009.06.22 -
ClamAV 0.94.1 2009.06.23 -
Comodo 1397 2009.06.23 Unclassified Malware
DrWeb 5.0.0.12182 2009.06.23 -
eSafe 7.0.17.0 2009.06.22 -
eTrust-Vet 31.6.6573 2009.06.22 -
F-Prot 4.4.4.56 2009.06.22 -
F-Secure 8.0.14470.0 2009.06.23 -
Fortinet 3.117.0.0 2009.06.23 -
GData 19 2009.06.23 Trojan.Generic.110981
Ikarus T3.1.1.59.0 2009.06.23 -
Jiangmin 11.0.706 2009.06.23 -
K7AntiVirus 7.10.768 2009.06.19 Trojan-Spy.Win32.Goldun
Kaspersky 7.0.0.125 2009.06.23 -
McAfee 5654 2009.06.22 Generic.dx
McAfee+Artemis 5654 2009.06.22 Generic.dx
McAfee-GW-Edition 6.7.6 2009.06.23 Trojan.Spy.LooksLike.Goldun
Microsoft 1.4803 2009.06.23 -
NOD32 4180 2009.06.23 -
Norman 6.01.09 2009.06.22 -
nProtect 2009.1.8.0 2009.06.23 -
Panda 10.0.0.16 2009.06.23 Trj/Banker.LSW
PCTools 4.4.2.0 2009.06.22 -
Prevx 3.0 2009.06.23 Medium Risk Malware
Rising 21.35.11.00 2009.06.23 -
Sophos 4.42.0 2009.06.23 -
Sunbelt 3.2.1858.2 2009.06.23 -
Symantec 1.4.4.12 2009.06.23 -
TheHacker 6.3.4.3.351 2009.06.22 -
TrendMicro 8.950.0.1094 2009.06.23 -
VBA32 3.12.10.7 2009.06.23 -
ViRobot 2009.6.23.1800 2009.06.23 -
VirusBuster 4.6.5.0 2009.06.22 -
weitere Informationen
File size: 368640 bytes
MD5...: 47fef259fb9cae50ccc63549c43326ca
SHA1..: 3afcadacfde7559a29ab5751e666c217dd3b283a
SHA256: 2f4cc9f57ac22a4a3ed53c4ee3cdc3aa46a058026fd10c8109ed73f352078c0d
ssdeep: 6144:o7zJVF4Obrxqph4s8stCLJi3xTFdQ/dmd6lyhc4NOwMWIT6YIzaulAq4Rdl
:UJ/4ObrApys7RhT3ydm/ODWIT6YiBAqS
PEiD..: BobSoft Mini Delphi -> BoB / BobSoft
TrID..: File type identification
Win32 Executable Borland Delphi 7 (69.1%)
Win32 Executable Borland Delphi 6 (27.0%)
Win32 Executable Delphi generic (1.5%)
Win32 Executable Generic (0.8%)
Win32 Dynamic Link Library (generic) (0.7%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4cb20
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x4bb68 0x4bc00 6.53 41a75f8c6509eb84a14a36e2029d7847
DATA 0x4d000 0x1124 0x1200 4.05 1e6f8cd314fb1df8ddccd2c73e743306
BSS 0x4f000 0xbd9 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x50000 0x1f62 0x2000 4.98 c05347d75a6b855bdac03f4218b11edb
.tls 0x52000 0x10 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x53000 0x18 0x200 0.21 5f84fd7a6665e7dac4c7258919da69b9
.reloc 0x54000 0x5534 0x5600 6.67 75ba1c119b744b555d7e499511da5ebf
.rsrc 0x5a000 0x5600 0x5600 4.21 91f8d460e125a261258b975b2ec5e088

( 14 imports )
> kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetVersion, GetCurrentThreadId, InterlockedDecrement, InterlockedIncrement, VirtualQuery, WideCharToMultiByte, MultiByteToWideChar, lstrlenA, lstrcpynA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle
> user32.dll: GetKeyboardType, LoadStringA, MessageBoxA, CharNextA
> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey
> oleaut32.dll: SysFreeString, SysReAllocStringLen, SysAllocStringLen
> kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA
> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey
> kernel32.dll: lstrcpyA, WriteFile, WaitForSingleObject, VirtualQuery, VirtualAlloc, Sleep, SizeofResource, SetThreadLocale, SetFilePointer, SetEvent, SetErrorMode, SetEndOfFile, ResetEvent, ReadFile, MulDiv, LockResource, LoadResource, LoadLibraryA, LeaveCriticalSection, InitializeCriticalSection, GlobalUnlock, GlobalReAlloc, GlobalHandle, GlobalLock, GlobalFree, GlobalFindAtomA, GlobalDeleteAtom, GlobalAlloc, GlobalAddAtomA, GetVersionExA, GetVersion, GetTickCount, GetThreadLocale, GetSystemInfo, GetStringTypeExA, GetStdHandle, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLocalTime, GetLastError, GetFullPathNameA, GetDiskFreeSpaceA, GetDateFormatA, GetCurrentThreadId, GetCurrentProcessId, GetCPInfo, GetACP, FreeResource, InterlockedExchange, FreeLibrary, FormatMessageA, FindResourceA, EnumCalendarInfoA, EnterCriticalSection, DeleteCriticalSection, CreateThread, CreateFileA, CreateEventA, CompareStringA, CloseHandle
> version.dll: VerQueryValueA, GetFileVersionInfoSizeA, GetFileVersionInfoA
> gdi32.dll: UnrealizeObject, StretchBlt, SetWindowOrgEx, SetViewportOrgEx, SetTextColor, SetStretchBltMode, SetROP2, SetPixel, SetDIBColorTable, SetBrushOrgEx, SetBkMode, SetBkColor, SelectPalette, SelectObject, SaveDC, RestoreDC, RectVisible, RealizePalette, PatBlt, MoveToEx, MaskBlt, LineTo, IntersectClipRect, GetWindowOrgEx, GetTextMetricsA, GetTextExtentPoint32A, GetSystemPaletteEntries, GetStockObject, GetPixel, GetPaletteEntries, GetObjectA, GetDeviceCaps, GetDIBits, GetDIBColorTable, GetDCOrgEx, GetCurrentPositionEx, GetClipBox, GetBrushOrgEx, GetBitmapBits, ExcludeClipRect, DeleteObject, DeleteDC, CreateSolidBrush, CreatePenIndirect, CreatePalette, CreateHalftonePalette, CreateFontIndirectA, CreateDIBitmap, CreateDIBSection, CreateCompatibleDC, CreateCompatibleBitmap, CreateBrushIndirect, CreateBitmap, BitBlt
> user32.dll: CreateWindowExA, WindowFromPoint, WinHelpA, WaitMessage, UpdateWindow, UnregisterClassA, UnhookWindowsHookEx, TranslateMessage, TranslateMDISysAccel, TrackPopupMenu, SystemParametersInfoA, ShowWindow, ShowScrollBar, ShowOwnedPopups, ShowCursor, SetWindowsHookExA, SetWindowPos, SetWindowPlacement, SetWindowLongA, SetTimer, SetScrollRange, SetScrollPos, SetScrollInfo, SetRect, SetPropA, SetParent, SetMenuItemInfoA, SetMenu, SetForegroundWindow, SetFocus, SetCursor, SetClassLongA, SetCapture, SetActiveWindow, SendMessageA, ScrollWindow, ScreenToClient, RemovePropA, RemoveMenu, ReleaseDC, ReleaseCapture, RegisterWindowMessageA, RegisterClipboardFormatA, RegisterClassA, RedrawWindow, PtInRect, PostQuitMessage, PostMessageA, PeekMessageA, OffsetRect, OemToCharA, MessageBoxA, MapWindowPoints, MapVirtualKeyA, LoadStringA, LoadKeyboardLayoutA, LoadIconA, LoadCursorA, LoadBitmapA, KillTimer, IsZoomed, IsWindowVisible, IsWindowEnabled, IsWindow, IsRectEmpty, IsIconic, IsDialogMessageA, IsChild, InvalidateRect, IntersectRect, InsertMenuItemA, InsertMenuA, InflateRect, GetWindowThreadProcessId, GetWindowTextA, GetWindowRect, GetWindowPlacement, GetWindowLongA, GetWindowDC, GetTopWindow, GetSystemMetrics, GetSystemMenu, GetSysColorBrush, GetSysColor, GetSubMenu, GetScrollRange, GetScrollPos, GetScrollInfo, GetPropA, GetParent, GetWindow, GetMenuStringA, GetMenuState, GetMenuItemInfoA, GetMenuItemID, GetMenuItemCount, GetMenu, GetLastActivePopup, GetKeyboardState, GetKeyboardLayoutList, GetKeyboardLayout, GetKeyState, GetKeyNameTextA, GetIconInfo, GetForegroundWindow, GetFocus, GetDesktopWindow, GetDCEx, GetDC, GetCursorPos, GetCursor, GetClientRect, GetClassNameA, GetClassInfoA, GetCapture, GetActiveWindow, FrameRect, FindWindowA, FillRect, EqualRect, EnumWindows, EnumThreadWindows, EndPaint, EnableWindow, EnableScrollBar, EnableMenuItem, DrawTextA, DrawMenuBar, DrawIconEx, DrawIcon, DrawFrameControl, DrawEdge, DispatchMessageA, DestroyWindow, DestroyMenu, DestroyIcon, DestroyCursor, DeleteMenu, DefWindowProcA, DefMDIChildProcA, DefFrameProcA, CreatePopupMenu, CreateMenu, CreateIcon, ClientToScreen, CheckMenuItem, CallWindowProcA, CallNextHookEx, BeginPaint, CharNextA, CharLowerA, CharToOemA, AdjustWindowRectEx, ActivateKeyboardLayout
> kernel32.dll: Sleep
> oleaut32.dll: SafeArrayPtrOfIndex, SafeArrayGetUBound, SafeArrayGetLBound, SafeArrayCreate, VariantChangeType, VariantCopy, VariantClear, VariantInit
> comctl32.dll: ImageList_SetIconSize, ImageList_GetIconSize, ImageList_Write, ImageList_Read, ImageList_GetDragImage, ImageList_DragShowNolock, ImageList_SetDragCursorImage, ImageList_DragMove, ImageList_DragLeave, ImageList_DragEnter, ImageList_EndDrag, ImageList_BeginDrag, ImageList_Remove, ImageList_DrawEx, ImageList_Draw, ImageList_GetBkColor, ImageList_SetBkColor, ImageList_ReplaceIcon, ImageList_Add, ImageList_GetImageCount, ImageList_Destroy, ImageList_Create
> shell32.dll: ShellExecuteA

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=47fef259fb9cae50ccc63549c43326ca' target='_blank'>http://www.threatexpert.com/report.aspx?md5=47fef259fb9cae50ccc63549c43326ca</a>
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=4590279E0087EFA8A056054D8E37910093217E9A' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=4590279E0087EFA8A056054D8E37910093217E9A</a>

Hi,

nenne die zwei Sachen um, hänge jeweils in ".vir" an...

chris

Hi Chris

Habe sie umbenannt. Prevx zeigt den Vaio.LNK immer noch an, wenn er einen Systemcheck macht!?

Was muss ich jetzt machen?

Gruss

Sorry. War das andere: startreg.exe wird jetzt auch als startreg.vir immer noch angezeigt von Prevx...

Hi,

ist Okay, hast Du inzwischen mal gebootet?
Wenn ja und es keine Probleme gab (und noch alles tut), lösche beide Teile und leere danach den Papierkorb (damit sind die dann unwiederbringlich im "Nirwana".
Durch das umbenennen konnten sie von Windows nicht mehr gefunden und ausgeführt werden, da es zu keinen Beeinträchtigungen kam, löschen wir sie jetzt (besonderst der Link hätte auch ein F/P sein können [false/positiv]).
War nur zur Absicherung :o)...

chris

So... Sind im Jenseits.

Gibts jetzt noch was zu machen?

Was mir aufgefallen ist ist, dass das Norton Antivirus immer Die System und Norton-Auslastung angezeigt hat und dies jetzt nicht mehr tut... ausserdem hat die HickjackThis-Logfile-Auswertung angezeigt, dass ich kein Antivirus installiert hätte, dabei habe ich ja Norton installiert oder hat der Trojaner daran herumgebastelt?

Hi,

installiere Norton umgehend neu, eventuell vorher einen Uninstaller laufen lassen...

chris

Hi Chris

Die Auslastungen werden immer noch nicht angezeigt, aber das Programm scheint trotzdem zu funktionieren. Scans führt er immerhin durch.

Was habe ich jetzt noch zu tun?

Hi,

Norton ist leider nicht mein Spezialgebiet, werde mal schauen ob ich einen finde...
Teste mal den Scanner auf Realtimeunterstützung:
http://www.defense.at/securitypaper/eicar-testvirus.html

Runter laden sollte reichen....

chris

Also:

Den freundlichen Testvirus wehrt das Antivirus-System ab. Es scheint also zu funktionieren.

Muss ich jetzt noch irgendwas machen, oder bin ich durch mit dem Trojaner?

Gruss

Hi,

momentan sehe ich nichts mehr...

chris

Hallo Chris4you,
habe das selbe Problem wie steglitzer, bin nur nicht so fit.....habe alle Logfile gemäß deiner Anleitung als Kopie abgespeichert,wie mach ich jetzt weiter ?

Bitte dringend um Unterstützung.

Danke
Tom alias Flash68

Hallo,

bitte einen eigenen Thread eröffnen und die Logs posten, ggf. über einen
Fileupload:
http://www.file-upload.net/

chris

hei leute.. auch ich habe dieses problem
gehe mal den kompletten weg den ihr hier beschrieben habt... poste gleich mal den bericht