Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Voyager]

G Data erkennt noch nichts, außer bei einem der beiden Files eine Änderung an der Hosts Datei, wobei ich noch nicht herausgefunden habe, was wirklich daran geändert wurde. Sieht in der VM normal aus.

Ich seh die Änderung , 127.0.0.1 jL.chura.pl steht ganz oben dran in der Hosts. Sieht mir eher danach aus als wöllte man den infizierten Link der Konkurenz blocken.

Kann wer Sonar testen? Eventuell auch in der Version 2010.

http://www.abload.de/img/aufzeichnen0ziv.jpg

[olli]

Gerade habe ich einen angeblichen Crack auf einem PC gefunden ... sehr schön was da mit dem PC passiert ist. ^^

-
Von dem ganzen habe ich 2 Versionen gefunden:
http://www.virustotal.com/analisis/4767e82...06ce-1246367266
http://www.virustotal.com/analisis/4fddd77...438e-1246367277


Die Files sind im Anhang. Passwort gibts per PN oder ihr ratet.

Na, vielleicht kann KIS die Scharte wieder auswetzen? Würde mich interessieren, ob KIS was beim Ausführen der Dateien erkennt.

Bis denne
Olli

PS: Immer wieder erstaunlich, was Avira alles so erkennt. Und trotzdem sind die Rechner infiziert...

[markus17]

@ Bond
Immerhin blockt es die ganzen Temp-Dateien. Diese vrt1.tmp wird ganz am Anfang ausgeführt. Kann das Blocken dieser eine Infektion verhindern.
*edit*
Vielleicht sollte ich doch wieder auf VM Ware umsteigen. Bei mir unter VPC ist die Hostdatei unverändert, obwohl G Data die Änderungen bemängelt.

PS: Immer wieder erstaunlich, was Avira alles so erkennt. Und trotzdem sind die Rechner infiziert...

Auf dem infizierten PC war Avira.

Die Free bekommt doch weniger oft Updates, oder? vielleicht liegt es daran.

Der Beitrag wurde von markus17 bearbeitet: 30.06.2009, 16:45

[Voyager]

Kann das Blocken dieser eine Infektion verhindern?

Schwer zu sagen , der Eintrag in der Hosts war vorhanden und das Testsystem rüttelt danach in Abständen am FDD Laufwerk was ein Zeichen ist das irgendwas läuft das dies verursacht . Das Hijackthis zeigt war nichts an aber das muss nichts heissen , man müsste danach nochmal mit anderen Antimalware Tools nachscannen.

[olli]

Bandit!!
h??p://.eshymkent.cn/setup_tube.exe Vorsicht!!

Avira blockt die Seite sofort. Ich komme gar nicht erst in die Gefahr etwas herunterzuladen ;-)

Bis denne
Olli

[Rios]

Olli, aber erst heute ja?

[Habakuck]

Editiert weil falsch verstanden.

Der Beitrag wurde von Habakuck bearbeitet: 30.06.2009, 17:45

[Solution-Design]

Gerade habe ich einen angeblichen Crack auf einem PC gefunden ... sehr schön was da mit dem PC passiert ist. ^^

- G Data erkennt noch nichts, außer bei einem der beiden Files eine Änderung an der Hosts Datei, wobei ich noch nicht herausgefunden habe, was wirklich daran geändert wurde. Sieht in der VM normal aus.
- Norton Antibot erkennt und löscht die Gefahr, wobei ich mir nicht sicher bin ob alles weg ist. Nach einem Neustart werden eine benutzername.exe und noch etwas (gerade vergessen, habe gestern getestet ) beseitigt. Dann möchte sich die Malware wieder selbst starten, wodurch Antibot auch noch eine gewissen 8.tmp Prozess beendet.
- Kann wer Sonar testen? Eventuell auch in der Version 2010.

Ich habe vielleicht den Fehler gemacht, mal beide Dateien doppelt zu klicken. Aber holla... Also, wenn der OnExecution-Scanner von a-squared ausgeschaltet ist, dann lassen sich die beiden Dateien (Habe das Passwort lieber erraten... grins) problemlos ausführen. Und dann wird geladen und geladen was das Zeug hält. Ein Scan mit aktuellen Signaturen (gestrige Signaturen fanden irgendwie nix, hätte bis zum a²-Update auch sowieso eine Stunde warten müssen...die kriegen den Scheiß Updater aber auch irgendwie nicht hin/OT) erbrachte dann folgendes Bild



Übrigens, zuerst habe ich den viralen Befall am Nichtstartenwollen des SpeedCommanders bemerkt. Der meldete, dass seine Datei verändert sei. Google Chrome stürzte sofort ab.

Nach einem anschließendem Neustart musste ich mich "anmelden" (sonst startet XP einfach durch, weil, alleiniger Nutzer). Das Netzwerk war im Eimer und die schönste Meldung war dann folgende:




Der Beitrag wurde von Solution-Design bearbeitet: 30.06.2009, 19:47

[Rios]

Im sprichwörtlichen Sinne, da geht die Post ab.
Meldung 2

Der Beitrag wurde von Rios bearbeitet: 30.06.2009, 19:51

[olli]

Olli, aber erst heute ja?

Yep,

Bis denne
olli

[markus17]

Also der Rechner, den ich mit dem Teil bekommen habe war wirklich unbrauchbar -> da ging nix mehr, weshalb ich nur diese beiden mutmaßlichen Auslöser herausgefischt und danach alles geplättet habe. Schon arg, was teilweise so im Umlauf ist.

[Solution-Design]

Im sprichwörtlichen Sinne, da geht die Post ab.
Meldung 2

Oh ja, man kann schon sagen, dass da die Post abgeht. Sieht man auch am zweiten Scan nach Neustart des Systems



Wenn man bedenkt, ein kurzer Doppelklick. Man glaubt, dass da irgendwie nüscht passiert, dann ist die gerade ausgeführte Datei fott, der Rechner lädt irgendwas herunter, IE und soweit alle wichtigen Programme funktionieren aber und in Wirklichkeit sieht es dann so aus:

QUELLTEXT

C:\WINDOWS\Explorer.EXE gefunden: Trojan.Win32.Patched!IK
C:\Programme\Avira\AntiVir Desktop\avscan.exe     gefunden: Virus.Win32.Virut.n!IK
C:\Programme\Microsoft Office\Office\GRAPH9.EXE     gefunden: Email-Worm.Win32.Finaldo!IK
C:\Programme\Movie Maker\moviemk.exe     gefunden: Trojan-Downloader.Win32.Banload!IK
C:\Programme\MSN\MSNCoreFiles\msn6.exe     gefunden: Virus.Win32.Sality!IK
C:\Programme\MSN Gaming Zone\Windows\hrtzzm.exe     gefunden: Trojan-Downloader.Win32.Dadobra!IK
C:\Programme\NetMeeting\conf.exe     gefunden: Virus.Win32.Virut!IK
C:\Programme\Windows Media Player\dlimport.exe     gefunden: Win32.Cadoiac.A!IK
C:\Programme\Windows Media Player\wmdbexport.exe     gefunden: Virus.Win32.Virut!IK
C:\Programme\Windows Media Player\wmpnetwk.exe     gefunden: Virus.Win32.Virut!IK
C:\Programme\Windows NT\dialer.exe     gefunden: Virus.Win32.Virut!IK
C:\Programme\Windows NT\hypertrm.exe     gefunden: Virus.Win32.Virut.q!IK
C:\Programme\Windows NT\Pinball\pinball.exe     gefunden: Virus.Win32.Virut.n!IK
C:\Programme\WinRAR\Rar.exe     gefunden: Trojan-PWS.Win32.FakeAIM.a!IK
C:\Programme\WinRAR\UnRAR.exe     gefunden: Trojan-PWS.Win32.FakeAIM.a!IK
C:\Programme\WinRAR\WinRAR.exe     gefunden: Virus.Win32.Virut!IK
C:\WINDOWS\explorer.exe     gefunden: Trojan.Win32.Patched!IK
C:\WINDOWS\ie7\iexplore.exe     gefunden: Trojan-Banker.Win32.Banker!IK
C:\WINDOWS\ie7updates\KB956390-IE7\iexplore.exe     gefunden: Virus.Win32.Virut!IK
C:\WINDOWS\ie7updates\KB958215-IE7\ie4uinit.exe     gefunden: Virus.Win32.Virut!IK
C:\WINDOWS\ie7updates\KB961260-IE7\ie4uinit.exe     gefunden: Virus.Win32.Virut!IK
C:\WINDOWS\ie8\ie4uinit.exe     gefunden: Virus.Win32.Virut!IK
C:\WINDOWS\inf\unregmp2.exe     gefunden: Virus.Win32.Virut.ai!IK
C:\WINDOWS\msagent\agentsvr.exe     gefunden: Virus.Win32.Virut!IK
C:\WINDOWS\network diagnostic\xpnetdiag.exe     gefunden: Virus.Win32.Virut!IK
C:\WINDOWS\PCHealth\HelpCtr\Binaries\helpctr.exe     gefunden: Virus.Win32.Virut!IK
C:\WINDOWS\PCHealth\HelpCtr\Binaries\helpsvc.exe     gefunden: Virus.Win32.Virut!IK
C:\WINDOWS\SoftwareDistribution\Download\d53a19238e3664857cfe3ba9425b011d\SP2GDR\ie4uinit.exe     gefunden: Virus.Win32.Virut!IK
C:\WINDOWS\SoftwareDistribution\Download\d53a19238e3664857cfe3ba9425b011d\SP2QFE\ie4uinit.exe     gefunden: Virus.Win32.Virut!IK
C:\WINDOWS\system32\accwiz.exe     gefunden: Virus.Win32.Radja!IK
C:\WINDOWS\system32\alg.exe     gefunden: Virus.Win32.Virut!IK
C:\WINDOWS\system32\chkntfs.exe     gefunden: Virus.Win32.Virut.q!IK
C:\WINDOWS\system32\cidaemon.exe     gefunden: Virus.Win32.Virut.q!IK
C:\WINDOWS\system32\convert.exe     gefunden: Virus.Win32.Virut.q!IK
C:\WINDOWS\system32\dcomcnfg.exe     gefunden: Backdoor.Win32.Frauder!IK
C:\WINDOWS\system32\dllcache\chkntfs.exe     gefunden: Virus.Win32.Virut.q!IK
C:\WINDOWS\system32\dllcache\cidaemon.exe     gefunden: Virus.Win32.Virut.q!IK
C:\WINDOWS\system32\dllcache\convert.exe     gefunden: Virus.Win32.Virut.q!IK
C:\WINDOWS\system32\dllcache\dlimport.exe     gefunden: Win32.Cadoiac.A!IK
C:\WINDOWS\system32\dllcache\hrtzzm.exe     gefunden: Trojan-Downloader.Win32.Dadobra!IK
C:\WINDOWS\system32\dllcache\imjpdct.exe     gefunden: Win32.Cadoiac.A!IK
C:\WINDOWS\system32\dllcache\imjputy.exe     gefunden: Virus.Win32.SillyW.1459!IK
C:\WINDOWS\system32\dllcache\printfilterpipelinesvc.exe     gefunden: Virus.Win32.Virut!IK
C:\WINDOWS\system32\dllcache\rsmui.exe     gefunden: Virus.Win32.Virut!IK
C:\WINDOWS\system32\dllcache\rsvp.exe     gefunden: Virus.Win32.Virut!IK
C:\WINDOWS\system32\dllcache\twunk_32.exe     gefunden: Virus.Win32.Virut!IK
C:\WINDOWS\system32\dllcache\unlodctr.exe     gefunden: Trojan.Win32.Anomaly!IK
C:\WINDOWS\system32\dllcache\unregmp2.exe     gefunden: Virus.Win32.Virut.ai!IK
C:\WINDOWS\system32\dllcache\unsecapp.exe     gefunden: W32.Virut!IK
C:\WINDOWS\system32\dxdiag.exe     gefunden: Virus.Win32.Virut!IK
C:\WINDOWS\system32\eudcedit.exe     gefunden: Virus.Win32.Radja!IK
C:\WINDOWS\system32\ieudinit.exe     gefunden: Virus.Win32.Virut!IK
C:\WINDOWS\system32\imapi.exe     gefunden: Virus.Win32.Virut!IK
C:\WINDOWS\system32\magnify.exe     gefunden: Virus.Win32.Virut!IK
C:\WINDOWS\system32\mmc.exe     gefunden: Virus.Win32.Virut!IK
C:\WINDOWS\system32\mnmsrvc.exe     gefunden: Virus.Win32.Virut.n!IK
C:\WINDOWS\system32\mqsvc.exe     gefunden: Backdoor.Win32.Frauder!IK
C:\WINDOWS\system32\mqtgsvc.exe     gefunden: Win32.Virtob!IK
C:\WINDOWS\system32\msdtc.exe     gefunden: Virus.Win32.Virut!IK
C:\WINDOWS\system32\oobe\msoobe.exe     gefunden: W32.Virut!IK
C:\WINDOWS\system32\osk.exe     gefunden: Virus.Win32.Virut!IK
C:\WINDOWS\system32\powercfg.exe     gefunden: Virus.Win32.Socks.BA!IK
C:\WINDOWS\system32\rsmui.exe     gefunden: Virus.Win32.Virut!IK
C:\WINDOWS\system32\rsnotify.exe     gefunden: W32.Virut!IK
C:\WINDOWS\system32\rsvp.exe     gefunden: Virus.Win32.Virut!IK
C:\WINDOWS\system32\sessmgr.exe     gefunden: Virus.Win32.Virut.q!IK
C:\WINDOWS\system32\sndrec32.exe     gefunden: Virus.Win32.DeadCode!IK
C:\WINDOWS\system32\spool\prtprocs\w32x86\printfilterpipelinesvc.exe     gefunden: Virus.Win32.Virut!IK
C:\WINDOWS\system32\ss3dfo.scr     gefunden: Virus.Win32.Virut!IK
C:\WINDOWS\system32\ssbezier.scr     gefunden: Win32.Virtob!IK
C:\WINDOWS\system32\sspipes.scr     gefunden: Virus.Win32.Virut!IK
C:\WINDOWS\system32\ssstars.scr     gefunden: Win32.Virtob!IK
C:\WINDOWS\system32\sstext3d.scr     gefunden: Virus.Win32.Virut!IK
C:\WINDOWS\system32\unlodctr.exe     gefunden: Trojan.Win32.Anomaly!IK
C:\WINDOWS\system32\vssvc.exe     gefunden: Virus.Win32.Virut.q!IK
C:\WINDOWS\system32\wbem\unsecapp.exe     gefunden: W32.Virut!IK
C:\WINDOWS\system32\wiaacmgr.exe     gefunden: Trojan-Downloader.Win32.Banload!IK
C:\WINDOWS\twunk_32.exe     gefunden: Virus.Win32.Virut!IK

Laut HijackThis ist die Welt weitgehend in Ordnung



Nachtrag: Danach hat man ein richtig sauberes Windows:



Der Beitrag wurde von Solution-Design bearbeitet: 30.06.2009, 20:30

[Habakuck]

Typischer Virut Infektions Verlauf.

Die reader_s.exe sieht man im Moment häufiger.

Kleiner Tip am Rande: Sollte mal irgendwem sowas in echt passiern dann auf jeden Fall dem Rechner den Saft am Netzteil abdrehen! Danach Live CD ins Laufwerk, von dieser Booten, Daten sichern und den Rechner hinterher neu machen. Dabei nicht vergessen den MBR über die Wiederherstellungskonsole neuschreiben zu lassen.

Der Beitrag wurde von Habakuck bearbeitet: 30.06.2009, 22:01

[Voyager]

Da ist doch alles mit viralen Anhängen infiziert worden , ob das Zeug nach einer Desinfektion überhaupt noch geht weiss auch keiner , um Langzeitschäden aus dem Weg zu gehen nützt hier nurnoch plattmachen.

[Julian]

Na, vielleicht kann KIS die Scharte wieder auswetzen? Würde mich interessieren, ob KIS was beim Ausführen der Dateien erkennt.

In dem Fall leider nichts, was passiert erkennt man auf Uwes blauen XP-Screen.

-------------------------

Immer diese Fake-Flash Player:
http://www.virustotal.com/de/analisis/1228...63c6-1246450480

Das meint Comodo AV in Standardeinstellungen:

[citro]

Ein Bild von einer vermeintlichen Kontaktanzeige per e-mail



Avira, Symantec per Rechtsklick blind - a²free erkennt die Datei

http://www.threatexpert.com/report.aspx?md...640713b864767b6

Der Beitrag wurde von citro bearbeitet: 02.07.2009, 20:10

[Voyager]

Hier haben wir einen Passwortklau Trojaner

http://www.virustotal.com/de/analisis/fd26...6147-1246565158

http://www.threatexpert.com/report.aspx?md...ccc2827fca8fdac

Wenn wir uns die Web-Anfragen des Trojaners anschauen sieht das nach Krieg zwischen Malwareschreibern aus
http://ligafootball.online.fr/ Stop the War - HaCkEd By linuXploit_crew
Wenn ich das richtig interpretiere graben die sich gegenseitig die Geldquellen ab und diese LinuxExploit Crew will "teilen" , zusammen macht man mehr Gewinn

[citro]

http://www.rokop-security.de/index.php?s=&...st&p=278732


Nach ein paar Stunden, Avira:

[0] Archivtyp: ZIP
[WARNUNG] Die Datei wurde ignoriert.
--> Bild-Cannon-05.jpq.com
[1] Archivtyp: ZIP SFX (self extracting)
[FUND] Enthält Erkennungsmuster des Droppers DR/Drop.Agent.Age.60
--> Bild.exe
[FUND] Enthält Erkennungsmuster des Droppers DR/Agent.Age.122
--> windows1.bat
[FUND] Enthält Erkennungsmuster des Batch-Virus BAT/KillAV.XL
--> windows3.bat
[FUND] Enthält Erkennungsmuster des Batch-Virus BAT/KillAV.XM

Der Beitrag wurde von citro bearbeitet: 03.07.2009, 16:12

[Rios]

Tut sich hier bei dem Fake AV bei a-squared wirklich nichts, denn Ikarus hat hier durchaus eine Meinung dazu laut Vtt

[Voyager]

Weiss jemand was mit Malwaredomainlist.com passiert ist ?