Verdächtiges Flashplayer Upgrade
 

Hi,

Mir wurde grade ein Link zu einem Video von dem gehackten Skype-Account eines Kumpels geschickt. Wusste natürlich nicht dass er gehackt ist, habe es aber grade amTelefon erfahren. Hier das besagte Video:

h**p://pokervideos.nu/play_vid_88

Dort stand dann mein Flashplayer sei nicht aktuell. Ich habe dann den Link zum Updaten angeklickt und mir eine Datei Namens adobe_installer.exe runtergeladen. Diese scannte ich dann mit meinem Norton Internet Security und nachdem kein Virus gefunden wurde habe ich die Datei geöffnet. Es kam aber kein Installationsbildschirm oder ähnliches. Beim aktualisieren der Seite lief das Video dann aber.

Nachdem ich von dem gehackten Account erfahren habe, habe ich die Datei bei Virustotal hochgeladen.


http://www.virustotal.com/de/analisis/fa58ac61612ff1df05b354ff56a6e7ee18068dfd89746afe5127bfeb83cedbc5-1257426122


Mein Firefox hat sich auch gerade beim erstellen dieses Posts von selbst geschlossen ohne meine Tabs zu speichern oder irgendeine Fehlermeldung zu bringen.
Was soll ich jetzt machen? Lasse grade einen kompletten Systemscan durchführen, was aber evtl wenig bringen wird, da Norton Internet Security bei der Datei selber auch keinen Virus gefunden hat.

Danach lass ich noch CCCleaner, Malewarebyte-Anti-Malware und RSIT laufen und update dann nochmal meinen Post.



Danke schonmal für eure Zeit und Hilfe!

MfG Tinytim

Die Datei adobe_installer.exe hat mittlerweile irgendwie einen anderen Namen und heißt jetz dotnetfx32.exe

Außerdem ist grade eben ein Bildschirm aufgegangen wo versucht wurde diese Datei zu öffnen, ich habe dann auf abbrechen geklickt. ich habe allerdings nicht versucht diese Datei zu öffnen.

Hat da vielleicht irgendwer Zugriff auf meinen PC?


Scan von Norton läuft noch. Poste dann update.

Virustotal. MD5: c3f4cb82cd022dbd2c45039cca43c8c5 Heuristic.BehavesLike.Win32.Trojan.H VirTool:Win32/DelfInject.gen!AC Virus.Win32.Delf!IK

Ich denke mal einen Fehlalarm kann man ausschließen.
Beim letzten Scan von dir fanden den nur 7 nun finden den neun.

Die Datei hat sich mittlerweile wieder in adobe_installer umbenannt.

Anstatt 150 kb wie beim herunterladen ist sie nun aber 1917 kb groß und mein Windows Explorer zeigt mir auch an dass sie um 15:11 zum letzten mal geändert wurde.
Kann sie allerdings nicht nochmal bei virustotal hochladen, da es mir anzeigt sie wurde bereits hochgeladen.

Führe grade Scan mit Malewarebytes-Anti-Malware aus. Während ich kurz vom PC weg war wurde scheinbar auch versucht den Scan abzubrechen.

CCleaner hab ich auch ausgeführt. Eine infizierte Datei wurde schon gefunden. Poste dann Scanbericht wenn der Scan fertig ist

Hast du die Datei sicher NICHT ausgeführt gehabt?

doch ich habe sie ausgeführt, da ich da noch nicht wusste, dass der Skype-Account von meinem Kumpel gehackt ist. Hab sie vorher mit Norton Internetsecurity gescannt und nachdem das nichts gefunden hatte ausgeführt :(

Steht aber auch so im Ausgangspost

Da hab ich wohl was falsch verstanden, i'm truly sorry.

Führe den Scan mit Malwarebytes zu ende und poste anbei das Logfile.

Ich hätte noch gerne eine RSIT Logfile von dir um genauer zu sehen was mit deinem System los ist.

Bitte heir her als Anhang, gepostet wirds sonst zu groß.

Hier schonmal das Malewarebyte Logfile

Gut, alles entfernen, dann bitte RSIT Logfile.

Danach lässt du bitte Gmer das System durchschauen.
Gmer Anleitung findest du hier: http://www.trojaner-board.de/74908-a...t-scanner.html

Hier die RSIT Logfiles

Und hier noch die Ergebnisse von dem GMER-Scan

Kann selber leider recht wenig damit anfangen, genauso wie mit dem RSIT-Log

Wie geht es deinem PC nun?

Ich würde vorschlagen wir schieben noch ne ganze Palette Scans hinterher.

Fangen wir mal an mit Superantispyware, dieses hast du wie ich RSIT sah schon installiert.
Lass SASW durchlaufen, danach das entstandene Logfile hier her.

Danke schonmal für deine Hilfe!

Seitdem hab ich nix verdächtiges oder komisches mehr an meinem PC bemerkt.

die von mir heruntergeladene und geöffnete Datei adobe_installer.exe hatte sich ja kurzzeitig in dotnetfx32.exe umbenannt.
Habe in dem selben Ordner grade auch eine Datei Namens dotnetfx32.exe gesehen, jedoch ist diese laut Explorer zuletzt vor ca. 2 Jahren geändert worden.
Also scheinbar hat sich die von mir heruntergeladene Datei kurzzeitig in eine andere Datei aus dem selben Ordner umbenannt.

Habe grade die Datei adobe_installer nochmal bei virustotal hochgeladen. Dort heißt sie komischerweise install_flash_player_ax.exe . Habe im selben Ordner auch eine Datei mit diesem Namen mit ähnlicher Größe ( wurde jedoch laut windows explorer zuletzt vor 8 monaten geändert) . Diese habe ich dann auch einmal auf virustotal geladen.

install_flash_player_ax.exe : Größe 1835 KB
adobe_installer.exe: Größe 1917 KB


adobe_installer (Name in WindowsExplorer) auf virustotal:

Virustotal. MD5: 651328afc874d1035d6a1d1151367c7a


install_flash_player_ax.exe (Name in Windows Explorer) bei virustotal:

Virustotal. MD5: 51f26c0051e97a91145971fe5bc632ff Trojan/Dropper.Js.any


Scan mit Superantispyware läuft grade. Kann man aus den Logs schon irgendwas verdächtiges sehen?

Hoffe ich hab das verständlich geschrieben. hört sich glaub ich etwas verwirrend an mit den Dateien.

Ich habe die Datei mal verschickt. Sodass man näheres anschauen kann daraus.

Gmer sagt nichts unaufälliges, warten wir mal SASW Log ab, Malwarebytes fand ja immerhin einen Trojan.Agent. Dieser wurde aber gelöscht.

Warten wirs mal ab. :)

Superantispyware hat paar Sachen gefunden. Aber die werden schon länger angezeigt. Die Programme sind aber in Ordnung (haben aber Funktionsweisen eines Trojaners)



SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 11/05/2009 at 07:55 PM

Application Version : 4.29.1004

Core Rules Database Version : 4233
Trace Rules Database Version: 2129

Scan type : Complete Scan
Total Scan Time : 00:46:15

Memory items scanned : 628
Memory threats detected : 0
Registry items scanned : 5382
Registry threats detected : 1
File items scanned : 90465
File threats detected : 5

Adware.IWinGames
HKU\S-1-5-21-796845957-688789844-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8CA5ED52-F3FB-4414-A105-2E3491156990}

Adware.Casino Games (Golden Palace Casino)
C:\POKER\TITAN POKER\CASINO.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\DESKTOPTITANPOKER.LNK
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\STARTMENü\PROGRAMME\TITAN POKER\TITAN POKER.LNK
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\STARTMENü\TITAN POKER.LNK
C:\DOKUMENTE UND EINSTELLUNGEN\STEVE\ANWENDUNGSDATEN\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\TITAN POKER.LNK

Alles gefunde bitte löschen von SASW:

1.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

2.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade.

3.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

Okay. Führe grade den Pandascan durch.

Kaspersky-Online kann ich wohl erst später machen, weil auf der von dir angegenen Seite steht, dass er grade nicht verfügbar ist,weil er überarbeitet wird.

Um die bei dem SASW-Scan gefundenen Sachen zu löschen muss ich den Scan auch nochmal durchlaufen lassen. Dachte es wäre okay, weil ich die Programme kenne. Aber benutze sie eh nicht, also lass ich sie nachher einfach löschen.

Wie bist du eigentlich an die Datei gekommen, damit du die an andere Leute verschicken konntest? Hast du die selber von der Seite runtergeladen?

Hier das Panda Active Scan Log.

Scannen hat bis grad eben gedauert. Also ca. 10 Stunden.

Yapp hab sie selbst runtergeladen. :D

Du hattest Smitfraudfix mal ausgeführt gehabt?

Gefundenes von Panda löschen.

Ja hatte Smitfraudfix mal ausgeführt. Hatte sogar einen Thread hier im Forum, weil mir damals mein Kaspersky dort einen Virus anzeigte. Stellte sich allerdings als Fehlalram raus.

Um Gefundenes von Panda zu löschen hätte man sich, soewit ich weiß, dort registrieren müssen. Aber du hast gemeint Registrierung nicht erforderlich :(
Oder ich habs einfach übersehen oder verplant?

Habe dort nichts gelöscht bisher und müsste jetzt wohl den ganzen 10 Stunden-Scan nochmal machen um das zu tun oder? Die Funde sind aber alles nur Fehlalarme und mir bereits bekannt. Könnte aber theoretisch auch alles löschen, da ich zur Zeit eh keines der Programme verwende. Was soll ich da jetz machen?

Werde jetz nochmal SASW durchlaufen lassen und die damals gefundenen programme dann löschen. (auch Fehlalarme und mir bekannt)

Kaspersky Onlinecan scheint immernoch nicht wieder zu gehen.

Weiß noch nicht zu wie viel ich heut noch komme, aber spätestens morgen hab ich viel Zeit mich darum zu kümmern.

Mache mal weiter mit PrevX wie in Punkt 2 meiner ebigen Anleitung beschrieben.

Kann das sein, dass das unter 2,5 min braucht um meinen Pc zu scannen?

Habe einfach auf "Scan my PC now" geklickt ohne etwas an Einstellungen etc zu verändern.

Hat nix gefunden, wenn ichdas richtig sehe.


Log als Anhang: (musste auf 2 Files aufteilen weil sie zu groß war für anhang)

prevx sieht okeh aus, machen wir nochmal einen dr web cure it scan - anleitung: http://www.trojaner-board.de/59299-a...eb-cureit.html

danke für die hilfe.

aber hab mich entschlossen zu formatieren. ist mir ansonsten einfach zu unsicher, ob ich das wirklich restlos alles unten habe.

MfG
Tinytim

Guter Beschluss, möchtest du noch einen Hilfelink? Sag bescheid wenn ja.

Ändere sicherheitshalber all deine Passwörter nach dem neuaufsetzen ab :)

Good Luck

hilfelink wäre super! mit den passwörtern werde ich machen.