|
Nochmal syscheckrt.exe Da ich auf den anderen Thread nicht antworten kann, eben so: Mit syscheckrt.exe ist nicht zu spaßen, es handelt sich wohl um eine Variante von SpyEye. Hab mir das Teil am 9.2. über Firefox eingefangen auf irgend ner Webseite, wahrscheinlich über Java-Ads oder so, denn im Java Cache waren ein paar Funde. Das Ding installiert sich in C:/syscheckrt/syscheckrt.exe, hängt sich in alle laufenden Prozesse ein die es zu fassen bekommt, und verhindert das sie es sehen können. So verschwindet das Tool und seine config.bin sowie das ganze verzeichnis sofort nach dem Ausführen als wenn es gelöscht wäre. Der Eintrag in HKCU .. currentversion.. run ist ebenfalls nicht sichtbar während das Tool läuft, dazu hilft Abgesicherter Modus. Laut Virustotal momentan 25% Erkennungsquote: hxxp://www.virustotal.com/file-scan/report.html?id=20df1d37d91f7daf1efa256c9f7bcbf8e240c2685bd3b526b129526f24916da8-1297287259 Die Entfernung ist zwar einfach, aber das Teil war ja nicht zum Spaß da. Diverse Kennwörter können ausgelesen worden sein, konnte leider per Sandbox/ProcessMonitor nicht rausbekommen welche. Bei mir jedenfalls hat es mindestens aus WS_FTP meine beiden Zugänge ausgelesen (hatte Passwörter dort gespeichert), 4 Stunden später erfolgte auf beiden Servern ein Login mit meinen Daten und ein Bot scannte nach html Dateien, lud alles mit "index" oder "start" im Namen runter, fügte ein iframe zu ba_li-pla_net.com ein und lud es wieder hoch, auf der Seite war wiederum ein iframe zu hxxp://a_line49lm_w.co.cc/ (Unterstriche entfernen, Besuch auf eigene Gefahr) Das Teil scheint auch relativ neu zu sein, und die meisten werden es nichtmal bemerken, i.d.R. sieht man (und Antivirus Programme) es nur wenn es nicht läuft, falls es dann überhaupt erkannt wird. Hab meinen Rechner per Backup wiederhergestellt, war mir dann doch lieber. Dummerweise die exe schon gelöscht, würde gern nochmal genauer schauen was die alles macht. Falls ich oder jemand anderes hier noch mehr Infos hat her damit, ich melde mich wenn ich noch was interessantes finde. Wenn man sich über SpyEye schlau macht sieht es jedenfalls Düster aus, gerade wenn man lange Zeit mit dem Teil online war, das ist ein regelrechter Alleskönner, von Backconnect FTP über Screenshots bis RDP session. Wer sicher gehen will, besser alle Kennwörter ändern die auf dem Rechner waren oder seit Infizierung eingegeben wurden, egal ob Klartext oder Firefox-PW-Manager, FTP programme, Email, ... |
Hallo und :hallo: Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! Danach OTL: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:21 Uhr. |
Copyright ©2000-2025, Trojaner-Board