1. Liebe Forumsgemeinde,

    aufgrund der Bestimmungen, die sich aus der DSGVO ergeben, müssten umfangreiche Anpassungen am Forum vorgenommen werden, die sich für uns nicht wirtschaftlich abbilden lassen. Daher haben wir uns entschlossen, das Forum in seiner aktuellen Form zu archivieren und online bereit zu stellen, jedoch keine Neuanmeldungen oder neuen Kommentare mehr zuzulassen. So ist sichergestellt, dass das gesammelte Wissen nicht verloren geht, und wir die Seite dennoch DSGVO-konform zur Verfügung stellen können.
    Dies wird in den nächsten Tagen umgesetzt.

    Ich danke allen, die sich in den letzten Jahren für Hilfesuchende und auch für das Forum selbst engagiert haben. Ich bin weiterhin für euch erreichbar unter tti(bei)pcwelt.de.
    Dismiss Notice

You have a security problemI!! (leider nochmal)

Discussion in 'Sicherheit' started by Jack Donibo, Dec 17, 2008.

Thread Status:
Not open for further replies.
  1. Jack Donibo

    Jack Donibo Byte

    Moin, ich weiß es wurde schon öfter gefragt, aber ich bin in diesem Bereich relativ unerfahren und weiß nicht genau wie man das machen muss. Könnte es mir jemand nochmal erklären. (Die Hijack Datei habe ich angehängt)
     

    Attached Files:

    Jack Donibo, Dec 17, 2008
    #1
  2. Babu1940

    Babu1940 Viertel Gigabyte

    Babu1940, Dec 17, 2008
    #2
  3. frajoti

    frajoti Viertel Gigabyte

    Wie wäre es mit Neuaufsetzen?

    Btw, Dein PC ist beschwippst. :saufen:
     
    frajoti, Dec 17, 2008
    #3
  4. deoroller

    deoroller Wandelndes Forum

    deoroller, Dec 17, 2008
    #4
  5. Jack Donibo

    Jack Donibo Byte

    Danke erstmal für die antworten....
    Meinst du jetzt zusätzlich zu der anderen fixen oder wie und wenn ja nur die oder auch noch andere?
    Muss ich das im abgesicherten Modus machen?
     
    Jack Donibo, Dec 17, 2008
    #5
  6. frajoti

    frajoti Viertel Gigabyte

    @ deoroller: Was ist mit dem Alkohol?

    O4 - HKCU\..\Run: [Cognac] C:\DOKUME~1\Maxi\LOKALE~1\Temp\~tmpb.exe

    :D
     
    frajoti, Dec 17, 2008
    #6
  7. -humi-

    -humi- Joker

    bitte lasse folgendes auf Jotti/Virustotal scannen und poste anschl.die Ergebnisse...
    C:\DOKUME~1\Maxi\LOKALE~1\Temp\~tmpb.exe
    C:\DOKUME~1\Maxi\LOKALE~1\Temp\yyy16933.exe


    Was soll eigentlich in letzter Zt immer die Malware in den Temp Files^^
     
    -humi-, Dec 17, 2008
    #7
  8. deoroller

    deoroller Wandelndes Forum

    Ach ich wollte nicht so viel posten und dachte, es wäre alles. Aber es gibt ja noch weitere Augen hier, die mich zum Glück überpüfen. :)
     
    deoroller, Dec 17, 2008
    #8
  9. Jack Donibo

    Jack Donibo Byte

    Für die tmpb.exe kam dieses ergebnis bei virus total:

    Antivirus Version letzte aktualisierung Ergebnis
    AhnLab-V3 2008.12.17.3 2008.12.17 -
    AntiVir 7.9.0.45 2008.12.17 -
    Authentium 5.1.0.4 2008.12.17 -
    Avast 4.8.1281.0 2008.12.17 -
    AVG 8.0.0.199 2008.12.17 -
    BitDefender 7.2 2008.12.17 -
    CAT-QuickHeal 10.00 2008.12.17 -
    ClamAV 0.94.1 2008.12.17 -
    Comodo 771 2008.12.17 -
    DrWeb 4.44.0.09170 2008.12.17 -
    eSafe 7.0.17.0 2008.12.17 -
    eTrust-Vet 31.6.6265 2008.12.17 -
    Ewido 4.0 2008.12.17 -
    F-Prot 4.4.4.56 2008.12.17 -
    F-Secure 8.0.14332.0 2008.12.17 -
    Fortinet 3.117.0.0 2008.12.17 -
    GData 19 2008.12.17 -
    Ikarus T3.1.1.45.0 2008.12.17 -
    K7AntiVirus 7.10.556 2008.12.17 -
    Kaspersky 7.0.0.125 2008.12.17 -
    McAfee 5466 2008.12.16 -
    McAfee+Artemis 5466 2008.12.16 -
    Microsoft 1.4205 2008.12.17 TrojanDownloader:Win32/Renos.DZ
    NOD32 3699 2008.12.17 -
    Norman 5.80.02 2008.12.17 -
    Panda 9.0.0.4 2008.12.17 -
    PCTools 4.4.2.0 2008.12.17 -
    Prevx1 V2 2008.12.17 Malware Downloader
    Rising 21.08.22.00 2008.12.17 -
    SecureWeb-Gateway 6.7.6 2008.12.17 -
    Sophos 4.37.0 2008.12.17 Troj/DwnLdr-HGG
    Sunbelt 3.2.1801.2 2008.12.11 -
    Symantec 10 2008.12.17 -
    TheHacker 6.3.1.4.190 2008.12.17 -
    TrendMicro 8.700.0.1004 2008.12.17 -
    VBA32 3.12.8.10 2008.12.16 -
    ViRobot 2008.12.17.1523 2008.12.17 -
    VirusBuster 4.5.11.0 2008.12.17 -
    weitere Informationen
    File size: 86020 bytes
    MD5...: 6b95520f5d7cbf1d69e63dbedb34c4fd
    SHA1..: 7d19db08654a0a79511cbb3a3f454d3ef42e56cc
    SHA256: 97b5e74327c41a93f4576ba4a146b06905858fb0463c6a6767f4db0fe1583755
    SHA512: d146bb4494d969c91bd02182153d5fcdca1396449fd851bc7957e3eb73c030a7
    1041946579ca49e78c4b6a2430c0650ffb6294b084156d2ea2ef91ab2cc4aebc
    ssdeep: 1536:DLXeVReQoNHv/Le3O/zewRKiFVBT0I9dlCOFEsdD29Sb2i6Gr:DoXa3qcew
    RKEz0IpCgdgniNr
    PEiD..: -
    TrID..: File type identification
    Win32 Executable Generic (38.4%)
    Win32 Dynamic Link Library (generic) (34.2%)
    Clipper DOS Executable (9.1%)
    Generic Win/DOS Executable (9.0%)
    DOS Executable Generic (9.0%)
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x40110a
    timedatestamp.....: 0x47e80eb1 (Mon Mar 24 20:27:29 2008)
    machinetype.......: 0x14c (I386)

    ( 4 sections )
    name viradd virsiz rawdsiz ntrpy md5
    .text 0x1000 0x1044 0x2000 1.87 87918638233870437ef28686fb2c6b4f
    .rdata 0x3000 0x964 0x1000 3.59 96f4d0ee743f134a5fe9d1b3bc624d66
    .data 0x4000 0x2bb9a 0x10000 7.35 1a9d7ae6a1fe971b7c36919daa73bce4
    .rsrc 0x30000 0x94d 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110

    ( 5 imports )
    > user32.dll: DialogBoxParamA, LoadMenuA, EndDialog, IsWindow, CreateIcon, DrawIcon, CopyIcon, GetFocus, DrawIconEx, BlockInput, CalcMenuBar, CopyRect, DrawTextW, IsMenu, CloseWindow, InsertMenuA
    > comctl32.dll: ImageList_Copy, ImageList_DragLeave, ImageList_ReplaceIcon, ImageList_LoadImage, ImageList_GetIconSize, ImageList_GetImageInfo, ImageList_EndDrag, ImageList_LoadImageA, ImageList_AddMasked, ImageList_DrawEx, ImageList_LoadImageW, ImageList_Read, ImageList_GetDragImage, ImageList_Create, InitCommonControls, ImageList_Destroy, ImageList_GetIcon
    > advapi32.dll: RegOpenKeyExW, RegEnumKeyW, RegLoadKeyA, RegCreateKeyExW, RegDeleteValueW, RegDeleteKeyA, RegGetKeySecurity, RegQueryInfoKeyW, RegDeleteValueA, RegEnumKeyA, RegQueryInfoKeyA, RegQueryValueW, RegEnumKeyExW, RegQueryValueExW, RegEnumValueA, RegQueryValueExA, RegEnumKeyExA, RegCreateKeyW, RegDeleteKeyW
    > kernel32.dll: ReadFile, OpenFile, CopyFileExA, SetLastError, GetLastError, GetFileSize, CreateProcessA, GlobalFree, OpenFileMappingA, GetConsoleMode, CopyFileW, CreateDirectoryA, CopyFileExW, GetCommandLineA, GetCPInfo, DeleteAtom, FindAtomA
    > gdi32.dll: RestoreDC, GetBitmapBits, CreateSolidBrush, GetPixel, GetDCOrgEx, AddFontResourceA, AbortPath, AddFontResourceTracking, GetBrushOrgEx, AddFontResourceExW, CloseFigure, BeginPath, AddFontResourceExA, AddFontResourceW, GetPixel, ClearBrushAttributes, CancelDC
     
    Jack Donibo, Dec 17, 2008
    #9
  10. Jack Donibo

    Jack Donibo Byte

    Bei yyy16933.exe kam dieses ergebnis:


    Antivirus Version letzte aktualisierung Ergebnis
    AhnLab-V3 - - -
    AntiVir - - -
    Authentium - - -
    Avast - - -
    AVG - - -
    BitDefender - - -
    CAT-QuickHeal - - -
    ClamAV - - -
    Comodo - - -
    DrWeb - - -
    eSafe - - -
    eTrust-Vet - - -
    Ewido - - -
    F-Prot - - -
    F-Secure - - -
    Fortinet - - -
    GData - - -
    Ikarus - - -
    K7AntiVirus - - -
    Kaspersky - - -
    McAfee - - -
    McAfee+Artemis - - -
    Microsoft - - TrojanDownloader:Win32/Renos.gen!BB
    NOD32 - - -
    Norman - - -
    Panda - - -
    PCTools - - -
    Prevx1 - - Malware Downloader
    Rising - - -
    SecureWeb-Gateway - - -
    Sophos - - Mal/TibsPk-A
    Sunbelt - - -
    Symantec - - -
    TheHacker - - -
    TrendMicro - - -
    VBA32 - - -
    ViRobot - - -
    VirusBuster - - -
    weitere Informationen
    MD5: 297bb496d67f7fea17bd4e4638d31ae3
    SHA1: 6e34df55f538101d848f14c46eec9ac048f99b6b
    SHA256: a552e9bf445d2d63b4bf405135a195a5aa40d0606dde095c5b67d9251bdb7a16
    SHA512: 45a333976ea2cd5a8108e720073e5141bce89dc899b56b02602bdb6e6f8ed128e5e4daea10538be341db5d214ba146a6bb967e183d6f79377db8a6acbe7d160d
     
    Jack Donibo, Dec 17, 2008
    #10
  11. frajoti

    frajoti Viertel Gigabyte

    Warum nicht. Gelöscht wird der Ordner vom System ja sowieso nicht ordentlich. Und wer schaut schon in seinen temporären Ordner, der standardmäßig versteckt ist.
     
    frajoti, Dec 17, 2008
    #11
  12. -humi-

    -humi- Joker

    mi fällt zur Zt eine Verehrung im Bezug auf Zlob und Co auf, die die Daten nun hier verstecken;)

    zum Problem:

    -Deaktiviere die Systemwiederherstellung
    -lösche mittels CCleaner alles (Standardeinstellung)

    führe erneut HJT aus und poste ein Log

    führe Malwarebytes Antimalware aus und poste ein Log (vollständiger Scan und NICHTS bereinigen))
     
    Last edited: Dec 17, 2008
    -humi-, Dec 17, 2008
    #12
  13. Jack Donibo

    Jack Donibo Byte

    Der Virus/Schädling ist weg....
    Danke nochmal für die Hilfe!!!!:danke:
     
    Jack Donibo, Dec 18, 2008
    #13
  14. -humi-

    -humi- Joker

    aha.. ok.... un wie?
    bis bald
     
    -humi-, Dec 18, 2008
    #14
  15. Jack Donibo

    Jack Donibo Byte

    Im Abgesicherten Modus, ohne Systemwiederherstellung, die störenden Prozesse/Programme mit HJT gefixt....
    Und dann war er weg:spitze:
     
    Jack Donibo, Dec 19, 2008
    #15
  16. -humi-

    -humi- Joker

    is aber noch da
     
    -humi-, Dec 20, 2008
    #16
Thread Status:
Not open for further replies.

Share This Page