Entdecke einen Virus :CF778051:$DATA - Analyse erwünscht! ADS Hidden Stream |
||
---|---|---|
#0
| ||
25.06.2010, 02:51
...neu hier
Beiträge: 6 |
||
|
||
25.06.2010, 10:16
Moderator
Beiträge: 5694 |
#2
Hallo und herzlich Willkommen auf Protecus.de
Um ein infiziertes System zu bereinigen bedarf es neben Zeit auch die Beachtung folgender Punkte: • Halte Dich an die Anweisungen des jeweiligen Helfers. • Falls Du externen Speichermedien (USB Sticks, Festplatten) hast, dann schliesse die vor der Reinigung an. • Während der Reinigung solltest Du weder Programme installieren noch deinstallieren, welche nicht ausdrücklich verlangt werden. • Bitte arbeite jeden Schritt der Reihe nach ab. • Falls bei einem Schritt Probleme auftauchen, poste was du bereits hast und melde Dich mit dem Problembeschreiben. • Die Bereinigung ist erst beendet wenn der jeweilige Helfer das OK gibt. • Wenn die Kiste wieder flott läuft heisst das nicht, dass das Sytem auch sauber ist. • Bei geschäftlich genutzten Rechner sollte der zuständige IT Verantwortliche beigezogen werden. • Ein Support unsererseits kann unter Umständen bei einem Firmenrechner abgelehnt werden. • Bei illegaler Software besteht die Möglichkeit, dass der Support eingestellt wird. • Jegliche Cracks oder Keygens werden weder gefördert noch akzeptiert. • Bei stark infizierten Systemen vorallem wenn Backdoors oder Rootkits involviert sind kann es vorkommen, dass ein Helfer zum Neuaufsetzen rät. • In letzter Instanz ist dann immer der User welcher entscheidet. Vista und Win7 User: Alle Programme und Tools, die wir anordnen, immer mit Rechtsklick und Als Administrator ausführen. Schritt 1 Rootkit-Suche mit Gmer Was sind Rootkits? Wichtig: Bei jedem Rootkit-Scans soll/en: • alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein, • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen), • nichts am Rechner getan werden, • nach jedem Scan der Rechner neu gestartet werden. • Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten! Lade Dir Gmer von dieser Seite herunter (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern. • Gmer ist geeignet für => NT/W2K/XP/VISTA. • Alle anderen Programme sollen geschlossen sein. • Starte gmer.exe (hat einen willkürlichen Programm-Namen). • Vista-User mit Rechtsklick und als Administrator starten. • Gmer startet automatisch einen ersten Scan. • Sollte sich ein Fenster mit folgender Warnung öffnen: Code WARNING !!! • Unbedingt auf "No" klicken, anschließend über den Copy-Button das bisherige Resultat in die Zwischenablage zu kopieren. • Füge das Log aus der Zwischenablage mit STRG + V in Deine Antwort in Deinem Thread ein. . • Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware", • Hake an: System, Sections, IAT/EAT, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files. • Wichtig: "Show all" darf nicht angehakt sein! • Starte den Scan durch Drücken des Buttons "Scan". Mache nichts am Computer während der Scan läuft. • Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet. • Füge das Log aus der Zwischenablage in Deine Antwort hier ein (mit STRG + V). Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst! Nun das Logfile in Code-Tags posten. Schritt 2 Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop >Doppelklick auf die OTL.exe -->Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen >Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output >Unter Extra Registry, wähle bitte Use SafeList >Klicke nun auf Run Scan links oben >Wenn der Scan beendet wurde werden 2 Logfiles erstellt >Poste die Logfiles in Code-Tags hier in den Thread. |
|
|
||
25.06.2010, 17:46
...neu hier
Themenstarter Beiträge: 6 |
#3
Gmer findet beim ersten Standard Scan nichts, allerdings kann ich die gewünschten Häkchen nicht setzen. Kann nur Services, Registry, Files und ADS auswählen!
Zitat Die Strings die Gmer gefunden hat (@hackmfkfidheeahk und @jaiikefnggangmoafaok und @iaijghapbelanljhol sowie @jaiikefnggangmoafakj) hatte ich schon mal gelöscht, Sie kommen aber immer wieder. Genauso wie die versteckten advanced data streams :CF778051:$DATA Code GMER 1.0.15.15281 - http://www.gmer.net OTL ist in einer neuen Version erschienen. Ist jetzt alles in Deutsch und es gibt viele Einstellmöglichkeiten (z.B. Datei-Alter der zu scannenden Dateien). Ich hab jetzt alles auf den Standardeinstellungen gelassen weil da Use Safelist schon angegeben war. Hier ist das Log: Code OTL logfile created on: 25.06.2010 17:25:11 - Run 1 Code OTL Extras logfile created on: 25.06.2010 17:25:11 - Run 1 So hab alles gemacht was du geschrieben hast. Bis auf den Gmer Scan bei dem ich die Häkchen nicht setzen konnte. Hoffe Ihr könnt mir helfen !! LG BERND Dieser Beitrag wurde am 25.06.2010 um 17:52 Uhr von Schilflos editiert.
|
|
|
||
25.06.2010, 17:59
Member
Beiträge: 5291 |
#4
Zitat Das ist der Notepad-Inhalt der DateiHahaha Nächste mal versuchs mit nem Hex Editor, Notepad wird da wohl eher weniger was anfangen können. Edit: Code 0000000 c12b 59c7 167c d82c a830 dbe1 7bc9 f387Recht wenig, dass ist keine ganze Datei eventuell sind das ja Daten von einer Malware die da gespeichert wurden. __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode Dieser Beitrag wurde am 25.06.2010 um 20:40 Uhr von Xeper editiert.
|
|
|
||
25.06.2010, 19:10
...neu hier
Themenstarter Beiträge: 6 |
#5
Hab die Datei ja bei megaupload hochgeladen falls sich das jemand mal ansehen möchte
|
|
|
||
26.06.2010, 00:59
Moderator
Beiträge: 5694 |
#6
Ich bin bis Montag noch anwesend. Du kannst aber inzwischen folgendes machen. Werde mich am Montag wieder melden:
Schritt 1 Java aktualisieren Deine Javaversion ist nicht aktuell. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, deinstalliere zunächst alle vorhandenen Java-Versionen über Systemsteuerung => Software => deinstallieren. Starte den Rechner neu. Downloade nun die Offline-Version von Java (Java SE Runtime Environment (JRE) 6 Update 20) von SUN. Wenn Du auf Download geklickt hast, erscheint eine Seite, wo Du das Betriebssystem auswählen musst (also Windows) und ein Häkchen bei "I agree" setzen musst. Dann auf den Button "Continue" klicken. Dort die jre-6u20-windows-i586.exe downloaden und anschließend installieren, eventuell angebotene Toolbars nicht mitinstallieren. Schritt 2 Mehrere Anti-Virus-Programme Code COMODO Internet Security Mir ist aufgefallen, dass Du mehr als ein Anti-Virus-Programm mit Hintergrundwächter laufen hast. Das ist gefährlich, da sich die Programme in die Quere kommen können und dadurch Viren erst recht auf dem Rechner landen können. Entscheide Dich für eine Variante und deinstalliere die andere über Systemsteuerung => Software. Berichte, für welches Anti-Virus-Programm Du Dich entschieden hast und deinstalliere die anderen. Schritt 3 Bereinigung mit Malwarebytes' Anti-Malware (Vollständiger Suchlauf) Lade Malwarebytes Anti-Malware (ca. 2 MB) von diesem Downloadspiegel herunter: Malwarebytes * Anwendbar auf Windows 2000, XP, Vista und Windows 7. * Installiere das Programm in den vorgegebenen Pfad. * Denke daran, bei Vista das Programm als Admin zu starten, ansonsten per Doppelklick starten. * Lasse es online updaten (Reiter Updates), sofern sich das Programm bereits auf dem Rechner befand. * Aktiviere "Komplett Scan durchführen" => Scan. * Wähle alle verfügbaren Laufwerke aus und starte den Scan. * Wenn der Scan beendet ist, klicke auf "Zeige Resultate". * Bei Funden in C:\System Volume Information den Haken entfernen. Ansonsten wird dieser Systemwiederherstellungspunkt nicht mehr funktionieren. Er könnte jedoch trotz Malware noch gebraucht werden. * Versichere Dich, dass ansonsten alle Funde markiert sind und drücke "Löschen". * Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread. * Nachträglich kannst du den Bericht unter "Scan-Berichte" finden. * Berichte, wie der Rechner nun läuft. |
|
|
||
28.06.2010, 09:42
...neu hier
Themenstarter Beiträge: 6 |
#7
Ich habe nur die Comodo Firewall und Defense + installiert, nicht aber den Comodo Virenscanner. Als Virenscanner habe ich Avast Antivirus.
Malwarebytes hat dies gefunden: Code Registry Data Items Infected:Das sagt Virustotal zu der Datei: Code a-squared 4.5.0.50 2010.05.10 -Die Datei war in der Quarantäne von AntiMalware, hab sie kurz restored zu virustotal hochgeladen und jetzt hab ich sie gelöscht. Was soll ich jetzt tun? PS. Vielen Dank für die Hilfe !! |
|
|
||
28.06.2010, 21:51
Moderator
Beiträge: 5694 |
#8
Backdoor Warnung
Da Dein Computer mit einer sog. Backdoor (Hintertür) infiziert ist, lies Dir diesen Beitrag sehr aufmerksam durch. Eine Backdoor versteckt sich durch ein Rootkit. Backdoors verursachen diverse Schäden in Windows und erlauben dem Angreifer die komplette Kontrolle über das infizierte System zu übernehmen. Sei Dir bewusst, dass der Angreifer neue Schädlinge bei Bedarf "nachladen" kann, dass er Tastatur-Eingaben mitloggen kann, dass er Programme ausführen kann und/oder sehen kann, was auf Deinem Bildschirm passiert. Daher lautet meine dringende Empfehlung, zu formatieren und Windows neu zu installieren. Das Thema wird sehr kontrovers diskutiert, aber viele Experten aus der "Security Comunity" sind sicher, dass ein einmal mit einer Backdoor infiziertes System auch nach einer Bereiniung nicht wieder als vertrauenswürdig anzusehen ist, denn es ist nicht das Gefährliche, was wir sehen, sondern das, was wir nicht sehen. Eine weitere Gefahr bei dieser Art von Infektion ist der Identitätsklau, denn diese Art von Schädling kann alle Deine Passwörter stehlen, E-Mail-Daten, Bankdaten, Karten-Nummern usw. durch Mitloggen der Tastatur-Eingaben ausspionieren. Mit diesem System auf keinen Fall mehr Online-Banking, Filesharing, Mailing oder Messaging betreiben. Keine Up- und Downloads, außer auf Security-Seiten. Es ist daher eine gute Idee, alle auf diesem System gespeicherten oder benutzten Passwörter von einem garantiert sauberen Rechner aus durch neue Passwörter zu ersetzen. Bitte trenne den Computer während der Neuinstallation oder Bereinigung vom Internet (Netz und WLAN), denn wenn der Computer am Netz angeschlossen ist, kann der Angreifer das System weiter modifizieren und vorbeugende Maßnahmen treffen, damit eine Bereinigung so manipuliert wird, dass Fixes nicht so ausgeführt werden, wie vorgesehen. Tiefergehende Informationen zu diesem Thema findest Du bei Gehen Sie sicher ins Internet. Lasse mich wissen, ob Du den Rechner neu aufsetzt oder ob Du trotz obiger Warnung eine umfangreiche, langwierige Bereinigung versuchen möchtest, deren Ende sein könnte, dass das System trotz Bereinigungsversuch neu aufgesetzt werden muss. Zitat Da der Computer aktuell als komprimitiert eingestuft wird, unbedingt den Rechner vom Netz trennen, wenn er unbeaufsichtigt ist. |
|
|
||
01.07.2010, 20:28
...neu hier
Themenstarter Beiträge: 6 |
#9
Ich würde gerne versuchen das System zu bereinigen weil ich unendlich viel Zeit in die letzte Installation stecken musste.
|
|
|
||
01.07.2010, 22:31
Moderator
Beiträge: 5694 |
#10
Schritt 1
Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop. • BleepingComputer • ForoSpyware**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird** • Doppel-klicke auf ComboFix.exe und folge den Aufforderungen. • Wenn ComboFix fertig ist, wird es ein Log für dich erstellen. • Bitte füge das C:\ComboFix.txt Log in deiner Antwort im Forum bei, so dass wir uns diese analysieren können. Schritt 2 Rootkitscan mit RootRepeal • Gehe hierhin, scrolle runter und downloade RootRepeal.zip. • Entpacke die Datei auf Deinen Desktop. • Doppelklicke die RootRepeal.exe, um den Scanner zu starten. • Klicke auf den Reiter Report und dann auf den Button Scan. • Mache einen Haken bei den folgenden Elementen und klicke Ok. . Drivers Files Processes SSDT Stealth Objects Hidden Services Shadow SSDT . • Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen. • Wähle C:\ und klicke wieder Ok. • Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld. • Wenn der Suchlauf beendet ist, klicke auf Save Report. • Speichere das Logfile als RootRepeal.txt auf dem Desktop. • Kopiere den Inhalt hier in den Thread. Schritt 3 Erneuter Systemscan mit OTL • Doppelklick auf die OTL.exe • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output • Unter Extra Registry, wähle bitte Use SafeList • Klicke nun auf Run Scan links oben • Wenn der Scan beendet wurde werden 2 Logfiles erstellt • Poste die Logfiles in Code-Tags hier in den Thread. |
|
|
||
02.07.2010, 12:32
...neu hier
Themenstarter Beiträge: 6 |
#11
Geht beides nicht!
"ComboFix funktioniert nicht mehr richtig." Windows Fehlermeldung Und Rootkitreveal gibt aus das es nicht mit 64-Bit Versionen zusammen arbeitet. :-/ |
|
|
||
02.07.2010, 19:09
Moderator
Beiträge: 5694 |
#12
Ou mein Fehler Hab die Version übersehen.
Schritt 1 • Eset Online Scanner (NOD32) • Unterstützte Betriebssysteme: Microsoft Windows 98/ME/NT 4.0/2000/XP und Windows Vista • Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten. • Voraussetzung: Internet Explorer (IE) 5.0 oder höher • Haken bei "YES, I accept the Terms of Use" machen • Start • ActiveX-Steuerelement installieren • Start • Signaturen werden heruntergeladen • Haken machen bei "Remove found threads" • Haken machen bei "Remove found threads" und "Scan unwanted applications" • Scan • Scanende • Browser schließen • Explorer öffnen • C:\Programme\EsetOnlineScanner\log.txt • Log hier posten • Deinstallation: Systemsteuerung => Software => Eset Online Scanner entfernen. Schritt 2 Erneuter Systemscan mit OTL • Doppelklick auf die OTL.exe • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output • Unter Extra Registry, wähle bitte Use SafeList • Klicke nun auf Run Scan links oben • Wenn der Scan beendet wurde werden 2 Logfiles erstellt • Poste die Logfiles in Code-Tags hier in den Thread. |
|
|
||
Die eine exportierte Datei könnt ihr hier downloaden:
http://www.megaupload.com/?d=5AB8A39M
Der Dateianhang hier im Forum ging leider nicht für diese Datei!
Ich bin der Meinung das mein PC mit irgendwas infiziert ist. Bei der Google Suche nach :CF778051:$DATA fand ich nur polnische und tschechische Seiten die sich um Virenbekämpfung drehen und in denen Logs von HiJackThis und co. gepostet waren.
Die Datei selbst wurde noch nirgends thematisiert geschweige denn analysiert. Wenn also jemand von euch einen neuen Virus/Rootkit/Malware sonstwas finden möchte - Hier darfst du Entdecker sein
Auf dem PC läuft Comodo Firewall und Defense+ (Was manchmal komischerweise ausgeschaltet ist obwohl ich mich nicht dran erinnern kann es abgeschaltet zu haben), Avast 4,8 Home Edition und ThreatFire.
Gescannt habe ich schon mit HiJackThis, SuperAntiSpyware, Avast, Spybot, Sophos Anti Rootkit... Alles ohne Funde.
Stream Name : :CF778051:$DATA
Filename : C:\ProgramData\TEMP
Full Stream Name : C:\ProgramData\TEMP:CF778051
Stream Size : 126
Stream Allocated Size: 128
Stream Name : :CF778051:$DATA
Filename : C:\Users\All Users\TEMP
Full Stream Name : C:\Users\All Users\TEMP:CF778051
Stream Size : 126
Stream Allocated Size: 128
Das ist der Notepad-Inhalt der Datei
Zitat
Virustotal sagt nichts zu der Datei. wahrscheinlich ist sie auch nur Teil etwas größerem ;-(File size: 126 bytes
MD5...: f09a9b41fac5e254aa5c25fb569db3b3
SHA1..: 95cb00ff141d468e37a46b51532115f6b8be1499
SHA256: 188c193ed77c5c8f63eb682132371cf5e31587c2e253aeb274f887b16ebf7cfd
ssdeep: 39ndWQ1XccN6S7NZR8pxLfQ9CIsVEJBAa7RdLqD9IyU6oYCv:FH1XxN6S7LR8p
xS+AAatJUIyU1YCv
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Unknown!
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
Das ist auch noch komisch!
Zitat
Das ist auch merkwürdig, kennt ihr diese ntuser.tmp.log1 Datei?Bitte helft mir! Keine Lust in einem Botnet zu stecken :/