Scans mit antivir und malwarebytes blieben ohne Ergebnis. Im Autostartverzeichnis entdeckte ich jedoch die verdächtige im Windows/temp belegene _ex-08.exe.
Würde mich gern hier durch den Entfernungsprozess leiten lassen.
Vielen Dank im Voraus
Den Virustotal-Report für die Datei habe ich angefügt:
Ergebnis: 17/39 (43.59%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 2. Geschätzte Startzeit ist zwischen 50 und 71 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email:
hab mir offenbar ein Rootkit eingefangen.
Symptome: ungewöhnliche Festplattenaktivität
Scans mit antivir und malwarebytes blieben ohne Ergebnis. Im Autostartverzeichnis entdeckte ich jedoch die verdächtige im Windows/temp belegene _ex-08.exe.
Würde mich gern hier durch den Entfernungsprozess leiten lassen.
Vielen Dank im Voraus
Den Virustotal-Report für die Datei habe ich angefügt:
Datei _ex-08.exe empfangen 2010.02.07 07:57:13 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 17/39 (43.59%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit ist zwischen 50 und 71 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email:
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.02.07 Trojan.Win32.Bredolab!IK
AhnLab-V3 5.0.0.2 2010.02.06 -
AntiVir 7.9.1.158 2010.02.05 -
Antiy-AVL 2.0.3.7 2010.02.05 -
Authentium 5.2.0.5 2010.02.06 -
Avast 4.8.1351.0 2010.02.06 Win32:Bredolab-BW
AVG 9.0.0.730 2010.02.06 Win32/Cryptor
BitDefender 7.2 2010.02.07 -
CAT-QuickHeal 10.00 2010.02.06 -
ClamAV 0.96.0.0-git 2010.02.06 -
Comodo 3850 2010.02.07 -
DrWeb 5.0.1.12222 2010.02.07 Trojan.DownLoad1.37182
eTrust-Vet 35.2.7286 2010.02.05 Win32/Bredolab.C!generic
F-Prot 4.5.1.85 2010.02.06 -
F-Secure 9.0.15370.0 2010.02.07 -
Fortinet 4.0.14.0 2010.02.07 -
GData 19 2010.02.07 Win32:Bredolab-BW
Ikarus T3.1.1.80.0 2010.02.07 Trojan.Win32.Bredolab
Jiangmin 13.0.900 2010.02.07 -
K7AntiVirus 7.10.968 2010.02.06 -
Kaspersky 7.0.0.125 2010.02.07 Packed.Win32.Krap.x
McAfee 5884 2010.02.06 -
McAfee+Artemis 5884 2010.02.06 -
McAfee-GW-Edition 6.8.5 2010.02.06 -
Microsoft 1.5406 2010.02.07 -
NOD32 4842 2010.02.06 a variant of Win32/Kryptik.CFG
Norman 6.04.03 2010.02.06 W32/FakeAV.AM!genr
nProtect 2009.1.8.0 2010.02.06 -
Panda 10.0.2.2 2010.02.06 Suspicious file
PCTools 7.0.3.5 2010.02.07 HeurEngine.MaliciousPacker
Prevx 3.0 2010.02.07 -
Rising 22.33.06.03 2010.02.07 -
Sophos 4.50.0 2010.02.07 Mal/FakeVirPk-A
Sunbelt 3.2.1858.2 2010.02.07 Trojan.Win32.Generic.pak!cobra
TheHacker 6.5.1.0.182 2010.02.07 -
TrendMicro 9.120.0.1004 2010.02.07 TROJ_BREDLAB.SMP
VBA32 3.12.12.1 2010.02.05 Malware-Cryptor.Win32.Vals.28
ViRobot 2010.2.5.2174 2010.02.05 -
VirusBuster 5.0.21.0 2010.02.06 Trojan.Fraudload.Gen!Pac.5
weitere Informationen
File size: 416256 bytes
MD5...: d5d65a2c67c63bc951771329639c0f65
SHA1..: ea391808e849324650b7cec7666461afdde22126
SHA256: cbbb927a48b9f806cc9e21b6875cad6f8e6e1cd5a244647181955582d4d5dc1c
ssdeep: 12288:RMMMMMMMMMMMcx6EBCIjNCaAhj0iMeTzWrrrI1BglQ3a:RMMMMMMMMMMMA
6eNClwkzWr3I1B
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x1094
timedatestamp.....: 0x4b6d190c (Sat Feb 06 07:23:56 2010)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x21a7 0x2200 0.38 d125efafe09c3b758750058374949ce0
.rdata 0x4000 0x5fa 0x600 4.07 cab936b562fabd2d1c7ed8b5bc7f6d0c
.data 0x5000 0xb3a 0xa00 5.19 611cffb892bd317f9f9dfb943e588b81
.rsrc 0x6000 0x14d16f 0x62400 7.99 75fbfa1a91f567ef462f41f3e1d92f9d
( 4 imports )
> kernel32.dll: GetProcAddress, LoadLibraryA, GetCommandLineA, GetTickCount, GetStartupInfoA, CreateEventA, GetLastError
> user32.dll: EndPaint, DispatchMessageA, SetWindowTextA, ShowWindow, DestroyWindow, BeginPaint, MessageBoxA, ScreenToClient
> gdi32.dll: GetStockObject, GetDeviceCaps, PatBlt, CreateSolidBrush, ExtTextOutA, SetPixel, GetTextExtentPoint32A, SelectObject, GetTextColor, LineTo, SetROP2, CreateFontIndirectA, CreateCompatibleDC, MoveToEx, GetObjectA, DeleteObject, SetBkMode, GetTextMetricsA, GetBkColor, BitBlt
> msvcrt.dll: exit, _exit, __getmainargs, rand, __CxxFrameHandler, _XcptFilter, __p__commode, wcschr, _except_handler3
( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned