Java Virus infektion über Imageshack

[emlyn d.]

die anubis-analyse zeigt nichts wirklich verwertbares, noch nicht einmal den autostart-eintrag

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
FacbookUpdate = %appdata%\FacbookUpdate.exe

 

[Julz2k]

Wo hast du den Registry Eintrag her?
Genau dort hat sich nämlich auch ein Eintrag bei mir festgesetzt.

die anubis-analyse zeigt nichts wirklich verwertbares, noch nicht einmal den autostart-eintrag

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
FacbookUpdate = %appdata%\FacbookUpdate.exe

 

[pravum]

die anubis-analyse zeigt nichts wirklich verwertbares, noch nicht einmal den autostart-eintrag

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
FacbookUpdate = %appdata%\FacbookUpdate.exe

Das ist klar das Du nichts verwertbares in der Anubis Analyse findest, dazu müsstest Du Ahnung haben, wie die Ergebnisse zu interpretieren sind. "lach"

Wo hast du den Registry Eintrag her?
Genau dort hat sich nämlich auch ein Eintrag bei mir festgesetzt.

Obiges geht einher mit ....... \AppLaunch\Service.exe und ..........\Install\Host.exe, schau mal ob diese als gestartete Prozesse aktiv sind.
Schon mal die reichhaltigen Tips zur Bereinigung befolgt, oder was soll das rumgeiere, kann doch nicht so schwer sein.
Ich hoffe Du hast nicht nicht zwischendurch Online Banking Geschäfte erledigt.

 

[Julz2k]

Rumgegeier? Aha..

Bei mir läuft nichts mehr. Desweiteren wurden auch keine Daten irgendwo hin geschickt.

Die Prozesse können schon einmal garnicht bei mir laufen, da die sich immer unterschiedliche, zufällige Namen geben.

//Ja ich habe Online Banking, Steam, Mail etc. alles laufen lassen.

 

[emlyn d.]

Wo hast du den Registry Eintrag her?
Genau dort hat sich nämlich auch ein Eintrag bei mir festgesetzt.

hallo,
ich habe den payload dvcsd.exe kurz auf meine testkiste losgelassen.
dabei wurden vier dateien erzeugt.
neben der schon genannten FacbookUpdate.exe(kopie der dvscd.exe) & dazugehörigem registry-eintrag die folgenden:

%temp%\AppLaunch\Service.exe(SHA256: 03dee130407772554f672153b128997c819d2227d3f418169a85d1136c7de2e7)
%appdata%\twttwtwttwtwtw.exe(kopie der service.exe)
%appdata%\Java

interessant war, dass in der letztgenannten datei die logs, und zwar unverschlüsselt, gespeichert wurden.

das alles muss nicht unbedingt mit deinem system übereinstimmen, ich erwähnte ja bereits, dass nur der angreifer auskunft darüber geben kann, was er bei deinem rechner angestellt hat.

//Ja ich habe Online Banking, Steam, Mail etc. alles laufen lassen.

jeder so, wie er mag.

Das ist klar das Du nichts verwertbares in der Anubis Analyse findest, dazu müsstest Du Ahnung haben, wie die Ergebnisse zu interpretieren sind. "lach"

ahhjaa, und was ist deiner meinung nach daran verwertbar, du experte?

Obiges geht einher mit ....... \AppLaunch\Service.exe und ..........\Install\Host.exe, schau mal ob diese als gestartete Prozesse aktiv sind.

du beziehst dich auf http://www.sophos.com/de-de/threat-...spyware/Troj~Blocker-I/detailed-analysis.aspx, richtig?
der registry-eintrag der FacbookUpdate.exe ist ein und der selbe, aber es handelt sich doch nicht um ein und dieselbe datei.
die FacbookUpdate.exe, um die es in diesem thread geht, und die des sophos-artikels haben unterschiedliche größen und somit natürlich auch unterschiedliche hashwerte.
dass sophos bei der vt-auswertung nicht angeschlagen hat, hätte dir auch auffallen können.