User setzte Trojaner ins Forum !!!!

#0
11.04.2008, 00:09
...neu hier

Beiträge: 1
#1 ich poste hier mal das extrem praktische ....

hier der screenshot:


hier der download:
edit (Sabina)

viel spass damit

mfg eXpert-joey

PS: bei fragen hier im thread posten
Dieser Beitrag wurde am 11.04.2008 um 00:14 Uhr von eXpert-joey editiert.
Seitenanfang Seitenende
11.04.2008, 05:35
Passwort: gast
Avatar Gastaccount

Beiträge: 0
#2 nicht downloaden!!!!!



loool so ein schwachmat^^ man junge.....kennst den spruch...man soll andere nicht für dümmer halten als man selber ist!^^ ;)

habs nochmals durch den scanner geschickt...und siehe daa na sowas^^




und spaßeshalber mal in vmware gestartet (war einfach mal neugierig^^)




is ein weiteres sampel für antivir und co. bekommen die gleich von mit per mail für ihre neue signaturen! ....ein danke auch an den depp der uns das file zur verfügung gestellt hat ;)

edit:antivir erkennt ihn zwar noch nicht aber die heuristik schlägt an von antivir muss aber auf hoch stehen!!
kann man auch so blöd sein und sowas in einem sicherheitsforum posten und das dann auch noch gleich mit dem ersten post? zuarg der junge...kiddis halt ;)
hier hat er es auch versucht^^

http://www.rokop-security.de/index.php?showtopic=16627
Seitenanfang Seitenende
11.04.2008, 09:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#3 «

man hat es in mehreren Foren "hinterlassen"


Antivirus erkennt die Malware sys32.exe

Zitat

sys32.exe

AhnLab-V3 2008.4.10.2 2008.04.11 -
AntiVir 7.6.0.84 2008.04.11 HEUR/Malware
Authentium 4.93.8 2008.04.10 -
Avast 4.8.1169.0 2008.04.10 -
AVG 7.5.0.516 2008.04.10 -
BitDefender 7.2 2008.04.11 -
CAT-QuickHeal 9.50 2008.04.10 -
Informações adicionais
File size: 42100 bytes
MD5...: 7d1195b9e934044e28f2e652c7708c76
SHA1..: 5ac6355d4b5fc327d71775aa6773f3e0c5c1da3d
SHA256: 1f039520eb9775656a45f00fb21776236156530a8459a66e6ab0dac45d15e21b
SHA512: bbeccde2ab7ea31b041538fabc9fd307885efbc287d63821a72bf4f929b626ae
8037c57c309abd227693a39ebcdb289c59313ee7bee8413fc7cec584ebb2c840
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401534
timedatestamp.....: 0x47fe098a (Thu Apr 10 12:35:22 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4a38 0x5000 5.51 5a76e2eba13ce340b98146ce9540a8c8
.data 0x6000 0xc48 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x7000 0x8d8 0x1000 1.95 aeddccdec3de47e7076a14dc4589b425

( 1 imports )
> MSVBVM60.DLL: __vbaVarSub, _CIcos, _adj_fptan, __vbaVarMove, __vbaFreeVar, __vbaStrVarMove, __vbaLenBstr, __vbaFreeVarList, __vbaPut3,
__vbaEnd, _adj_fdiv_m64, -, __vbaFreeObjList, -, _adj_fprem1,
__vbaRecAnsiToUni, -, -, __vbaStrCat, __vbaForEachCollAd, __vbaRecDestruct,
__vbaSetSystemError, __vbaHresultCheckObj, __vbaLenVar, _adj_fdiv_m32,
__vbaAryDestruct, __vbaVarForInit, -, __vbaExitProc, -, __vbaObjSet, -,
__vbaOnError, _adj_fdiv_m16i, __vbaObjSetAddref, _adj_fdivr_m16i,
__vbaVarIndexLoad, _CIsin, __vbaErase, -, -, __vbaChkstk, __vbaFileClose,
EVENT_SINK_AddRef, -, __vbaStrCmp, __vbaExitEachColl, __vbaVarTstEq,
__vbaI2I4, __vbaObjVar, DllFunctionCall, _adj_fpatan, __vbaRedim,
__vbaRecUniToAnsi, EVENT_SINK_Release, -, _CIsqrt,
EVENT_SINK_QueryInterface, __vbaExceptHandler, __vbaStrToUnicode, -,
_adj_fprem, _adj_fdivr_m64, -, __vbaFPException, __vbaInStrVar,
__vbaStrVarVal, __vbaVarCat, -, _CIlog, __vbaErrorOverflow, __vbaFileOpen,
__vbaInStr, __vbaNew2, -, _adj_fdiv_m32i, _adj_fdivr_m32i, __vbaStrCopy,
__vbaI4Str, __vbaFreeStrList, __vbaDerefAry1, _adj_fdivr_m32, __vbaPowerR8,
_adj_fdiv_r, -, -, __vbaI4Var, __vbaVarAdd, __vbaAryLock, __vbaVarDup,
__vbaStrToAnsi, __vbaVarCopy, __vbaFpI4, -, __vbaRecDestructAnsi,
__vbaLateMemCallLd, _CIatan, __vbaStrMove, -, __vbaStrVarCopy, _allmul,
_CItan, __vbaNextEachCollAd, __vbaAryUnlock, __vbaVarForNext, _CIexp,
__vbaMidStmtBstr, __vbaFreeObj, __vbaFreeStr, __vbaI4ErrVar

........................................................................................

sys32.exe ist erkennbar mit Windowsscan

http://virus-protect.org/artikel/tools/windowsscan.html

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32 *****
***** ***** ***** ***** *****

10-04-2008 sys32.exe 23 32:42.100
05-04-2008 h323log.txt 19 30:0
30-03-2008 perfh009.dat 11 00:359.076

«««
http://virus-protect.org/artikel/tools/combofix.html

Combofix löscht zuerst einmal die sys32.exe aus.

C:\WINDOWS\system32\sys32.exe

erkennt die C:\WINDOWS:windowsXP.exe (im Stream versteckt) - löscht nicht

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6B022A10-0D43-7E85-6A91-22C8DDA1EA31}]
C:\WINDOWS:windowsXP.exe
.

scanning hidden autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
windowsXP = C:\WINDOWS:windowsXP.exe??????????????????????????????????????????????
??????????????????????????????????????????????????????????????????????
?????????????????????????????????????????????????????????????????????
?????????????????????????????????????????????

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"windowsXP"="C:\WINDOWS:windowsXP.exe" [2008-04-11 09:28 42100]

--------------------------------------------------------------------

AVZ erkennt die C:\WINDOWS:windowsXP.exe im Stream, nach Reboot ist der Stream 0 - allerdings wird die C:\WINDOWS:windowsXP.exe nur von sdfix völlig rausgelöscht

http://virus-protect.org/artikel/tools/avz.html

Scanning disks
C:\WINDOWS:windowsXP.exe:$DATA >>> Danger - executable file in NTFS stream - executable file masking is possible

--------------------------------------------------------------------

hier werden versteckte temporäre Dateien sichtbar gemacht:
http://virus-protect.org/artikel/tools/tempfiles_bat.html

C:\DOCUME~1\Sabine\LOCALS~1\Temp\multiadmin.exe

die temporären Dateien samt exe kann man mit Cleaner entfernen
http://www.ccleaner.de/?protecus.de

---------------------------------------------------------------------------

einzig sichtbarer Eintrag im HijackThis:

http://virus-protect.org/hjtkurz.html

O4 - HKLM\..\Run: [windowsXP] C:\WINDOWS:windowsXP.exe


---------------------------------------------------------------------------


sdfix löscht alle noch vorhandenen Viren aus , auch die im Stream versteckte :windowsXP.exe

http://virus-protect.org/artikel/tools/sdfix.html
Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\IMPORT~1.EXE - Deleted
C:\TEMP.EXE - Deleted
C:\WINDOW~1.EXE - Deleted
C:\WINDOWS\system32\pathname.dll - Deleted


Removing Temp Files

ADS Check :

C:\WINDOWS
:windowsXP.exe 0
Total size: 0 bytes.
WINDOWS: deleted 0 bytes in 1 streams.

Checking for remaining Streams

C:\WINDOWS
No streams found.

-------------

der laut Combofix bekannte Registry-Eintrag kann leicht entfernt werden mit AVZ - geht natürlich auch über die Registry (Ausführen - regedit)

http://virus-protect.org/artikel/tools/avzreg.html

Searching for keys containing "{6b022a10-0d43-7e85-6a91-22c8dda1ea31}"
-- Searching in HKEY_LOCAL_MACHINE --
-- Searching in HKEY_CURRENT_USER --

HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\{6B022A10-0D43-7E85-6A91-22C8DDA1EA31}\ =

-- Searching in HKEY_CLASSES_ROOT --
-- Searching complete --
Keys viewed: 104764


--------------

Sophos enthalten in sdfix
http://virus-protect.org/artikel/tools/sdfix.html

Sophos Anti-Virus

Removal successful
>>> Virus 'Mal/Emogen-M' found in file C:\System Volume Information\_restore{5DDF781B-9CC5-4304-B65D-70C0371E176A}\RP3\A0004979.exe
>>> Virus 'Mal/VB-M' found in file C:\System Volume Information\_restore{5DDF781B-9CC5-4304-B65D-70C0371E176A}\RP3\A0004979.exe
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: