Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojan.Hacktool.Prockill.A (https://www.trojaner-board.de/74577-trojan-hacktool-prockill-a.html)

Vanitas 13 27.06.2009 20:56
Trojan.Hacktool.Prockill.A
 
Hallo Leute,

ich habe heute meinen PC neu aufgesetzt.
Dann habe ich mir wichtige Programme geladen, darunter auch den Adobe Flashplayer. Diesen habe ich von der offiziellen Seite geladen. Als ich dann auch BullGuard installiert habe, meldete mir das Programm das es sich bei der Installationsdatei vom Flash Player um einen "Trojan.Hacktool.Prockill.A" handelt.

Den CrapCleaner habe ich drüberlaufen lassen und alles gereinigt.

Systeminformationen

Code:
Betriebssystemname        Microsoft® Windows Vista™ Home Premium
Version        6.0.6001 Service Pack 1 Build 6001
Zusätzliche Betriebssystembeschreibung        Nicht verfügbar
Betriebssystemhersteller        Microsoft Corporation
Systemname        XXXXXXX
Systemhersteller        MEDIONPC
Systemmodell        MS-7502
Systemtyp        X86-basierter PC
Prozessor        Intel(R) Core(TM)2 Duo CPU    E7300  @ 2.66GHz, 2667 MHz, 2 Kern(e), 2 logische(r) Prozessor(en)
BIOS-Version/-Datum        Phoenix Technologies, LTD 6.00 PG, 20.06.2008
SMBIOS-Version        2.5
Windows-Verzeichnis        C:\Windows
Systemverzeichnis        C:\Windows\system32
Startgerät        \Device\HarddiskVolume1
Gebietsschema        Deutschland
Hardwareabstraktionsebene        Version = "6.0.6001.18000"
Benutzername        XXXXX\XXXXXX
Zeitzone        Mitteleuropäische Sommerzeit
Installierter physikalischer Speicher (RAM)        3,00 GB
Gesamter realer Speicher        3,00 GB
Verfügbarer realer Speicher        1,88 GB
Gesamter virtueller Speicher        6,21 GB
Verfügbarer virtueller Speicher        5,12 GB
Größe der Auslagerungsdatei        3,29 GB
Auslagerungsdatei        C:\pagefile.sys
Hier die HJT-Logfile

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:34:21, on 27.06.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Windows\system32\msinfo32.exe
C:\Program Files\Sicherheitssoftware\CrapCleaner\CCleaner.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Sicherheitssoftware\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [BullGuard] "C:\Program Files\BullGuard Software\BullGuard\bullguard.exe" -boot
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Sicherheitssoftware\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [BullGuard] "C:\Program Files\BullGuard Software\BullGuard\bullguard.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O13 - Gopher Prefix:
O23 - Service: BullGuard LiveUpdate (BGLiveSvc) - BullGuard Software - C:\Program Files\BullGuard Software\BullGuard\BullGuardUpdate.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe

--
End of file - 4172 bytes
und zu letzt die Logfile von Malwarebytes'

Code:
Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2297
Windows 6.0.6001 Service Pack 1

27.06.2009 21:55:45
mbam-log-2009-06-27 (21-55-45).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 139645
Laufzeit: 17 minute(s), 40 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

john.doe 27.06.2009 21:30
Hallo und :hallo:

Es fehlt noch die Uninstallliste von HJT (Punkt 2d, "Für alle Neuen" in meiner Signatur).
Zitat:
Als ich dann auch BullGuard installiert habe, meldete mir das Programm das es sich bei der Installationsdatei vom Flash Player um einen "Trojan.Hacktool.Prockill.A" handelt.
BullGuard ist Schrott. Deinstalliere es und installiere dir die Freeversion von Avira.

Lasse die "verdächtige" Datei bei Virustotal auswerten und poste das komplette Ergebnis inklusive Dateinamen und Hashwerten (unten die vielen Zahlen).

ciao, andreas

Vanitas 13 27.06.2009 21:44
Hier die Uninstall List

Code:
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
BullGuard 7.0 for Vista
CCleaner (remove only)
HijackThis 2.0.2
ICQ6.5
Intel(R) Network Connections 13.0.42.0
Intel(R) Network Connections 13.0.42.0
Intel® Matrix Storage Manager
Malwarebytes' Anti-Malware
Microsoft Visual C++ 2005 Redistributable
Mozilla Firefox (3.0.11)
Nero 8 Essentials
neroxml
NVIDIA Drivers
Realtek High Definition Audio Driver
VCRedistSetup
und hier Virustotal

Zitat:
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.18 2009.06.27 -
AhnLab-V3 5.0.0.2 2009.06.27 -
AntiVir 7.9.0.199 2009.06.26 -
Antiy-AVL 2.0.3.1 2009.06.26 -
Authentium 5.1.2.4 2009.06.27 -
Avast 4.8.1335.0 2009.06.26 -
AVG 8.5.0.339 2009.06.27 -
BitDefender 7.2 2009.06.27 -
CAT-QuickHeal 10.00 2009.06.26 -
ClamAV 0.94.1 2009.06.27 -
Comodo 1455 2009.06.27 -
DrWeb 5.0.0.12182 2009.06.27 -
eSafe 7.0.17.0 2009.06.25 -
eTrust-Vet 31.6.6582 2009.06.26 -
F-Prot 4.4.4.56 2009.06.26 -
F-Secure 8.0.14470.0 2009.06.27 -
Fortinet 3.117.0.0 2009.06.27 -
GData 19 2009.06.27 -
Ikarus T3.1.1.64.0 2009.06.27 -
Jiangmin 11.0.706 2009.06.27 -
K7AntiVirus 7.10.768 2009.06.19 -
Kaspersky 7.0.0.125 2009.06.27 -
McAfee 5659 2009.06.27 -
McAfee+Artemis 5659 2009.06.27 -
McAfee-GW-Edition 6.7.6 2009.06.27 -
Microsoft 1.4803 2009.06.27 -
NOD32 4193 2009.06.26 -
Norman 6.01.09 2009.06.26 -
nProtect 2009.1.8.0 2009.06.27 -
Panda 10.0.0.16 2009.06.27 -
PCTools 4.4.2.0 2009.06.26 -
Rising 21.35.52.00 2009.06.27 -
Sophos 4.43.0 2009.06.27 -
Sunbelt 3.2.1858.2 2009.06.27 -
Symantec 1.4.4.12 2009.06.27 -
TheHacker 6.3.4.3.356 2009.06.27 -
TrendMicro 8.950.0.1094 2009.06.26 -
VBA32 3.12.10.7 2009.06.27 -
ViRobot 2009.6.27.1808 2009.06.27 -
VirusBuster 4.6.5.0 2009.06.27 -
weitere Informationen
File size: 1878888 bytes
MD5 : 51f26c0051e97a91145971fe5bc632ff
SHA1 : 770db9ad471ffd4357358bc16ff0bb6c98d71e5d
SHA256: a4ea3bd92f7ef5dc1e82f211214aaf8fd99ca31102b8c83f73b5f4cd7004ef96
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4036F2
timedatestamp.....: 0x45A924BE (Sat Jan 13 19:28:14 2007)
machinetype.......: 0x14C (Intel I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x613A 0x6200 6.42 5e7443d559db8b472d8797226e99c88f
.rdata 0x8000 0x1142 0x1200 5.16 fcb9673a05ed38bcf07eb8577166190a
.data 0xA000 0x1CBD4 0xC00 5.09 ff135038f7c62edb9759aa901d26d650
.ndata 0x27000 0xA000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x31000 0xADE0 0xAE00 6.51 30c16a1cb5f26bcaf3398a1f0efd59eb
Kurioserweise findet BullGuard ein Trojaner aber Virustotal nichts...

P.S. Hatte die Datei vorhin schonmal gecheckt gehabt :party:

http://s5b.directupload.net/images/090627/qgtfv28s.jpg

john.doe 27.06.2009 21:58
Dann bist du entlassen. :)

ciao, andreas

Vanitas 13 27.06.2009 22:02
Was heißt das für mich?

john.doe 27.06.2009 22:04
Das ist eine Falschmeldung von BullGuard. Deinstalliere den Schrott und alles ist wieder i.O.

ciao, andreas


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:28 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131