BKA Trojaner 1.13

[knoepfchen27]

Also irgendwas läuft hier nicht....

Ich habe die Datei jetzt mehrmals versucht zu laden aber sie wird nicht hochgeladen.
Und der Download wird zwar ausgeführt, aber die Ausführung der exe geht dann nicht!?!?

Was nun tun kann das an irgendwelchen Sicherheitseinstellungen oder so liegen?

Der aktuelle Browser ( Internet Explorer ) sagt auch ständig Fehler auf der Seite bzw. zeigt das unten Links
im Browserfenster kurz, mit einem gelb unterlegten"!" an...

Und fragt auch ständig nach ob ich die nicht sicheren Elemente auch anzeigen lassen will!?

Vielleicht das noch zur Erklärung.

Er sagt immer wieder wenn es um die Ausführung geht der Verzeichnisname ist ungültig.

[john.doe]

Hallo Knoepfchen,

Ich habe die Datei jetzt mehrmals versucht zu laden aber sie wird nicht hochgeladen.

Dann lass Punkt 1-3 weg.

aber die Ausführung der exe geht dann nicht!?!?

Da ist noch nicht einmal das SP1 drauf, vermutlich mag er deshalb nicht.

Der aktuelle Browser

Naja, im letzten Jahrtausend war die Version 7 aktuell, heute gibt es schon eine Version 10.

Hilft alles nichts, da muss erstmal SP2 drauf.

1.) Installiere SP2 32bit fuer Vista.

2.) Installiere das Updatepack von Winfuture.

3.) Poste neue OTL-Logs.

ciao, andreas

[john.doe]

Hallo knoepfchen,

mittlerweile habe ich deinen Schaedling bekommen. Uralt, den erkennt eigentlich jedes AVP.

Code:

SHA256:	0ce59c20ebc2289e32b3f11d587f67a65c9038288b94e9d7d3988800422ee1cf
SHA1:	20154838ab1f3bd3f7a954d583a3917dd7a78023
MD5:	80da13b1bffaf29a4d05941d63510fb4
File size:	79.0 KB ( 80896 bytes ) 
File name:	yzgqdgtj.exe
File type:	Win32 EXE
Tags:	peexe armadillo 
Detection ratio:	23 / 43
Analysis date:	 2012-09-21 16:23:37 UTC ( 27 Minuten ago ) 

 
0
1
More detailsAntivirus	Result	Update
Agnitum	-	20120921
AhnLab-V3	-	20120921
AntiVir	TR/Weelsof.ng	20120921
Antiy-AVL	-	20120911
Avast	Win32:Weelsof-CE [Trj]	20120921
AVG	Generic29.BKOI	20120921
BitDefender	Trojan.Generic.KDV.733788	20120921
ByteHero	-	20120921
CAT-QuickHeal	-	20120921
ClamAV	-	20120921
Commtouch	-	20120921
Comodo	UnclassifiedMalware	20120921
DrWeb	Trojan.Winlock.6576	20120921
Emsisoft	-	20120919
eSafe	-	20120920
ESET-NOD32	Win32/Weelsof.B	20120921
F-Prot	-	20120920
F-Secure	Trojan.Generic.KDV.733788	20120921
Fortinet	W32/Weelsof.NJ!tr	20120921
GData	Trojan.Generic.KDV.733788	20120921
Ikarus	Trojan.Win32.Weelsof	20120921
Jiangmin	-	20120921
K7AntiVirus	-	20120921
Kaspersky	Trojan.Win32.Weelsof.nj	20120921
Kingsoft	Win32.Troj.Weelsof.nj.(kcloud)	20120918
McAfee	Artemis!80DA13B1BFFA	20120921
McAfee-GW-Edition	Artemis!80DA13B1BFFA	20120921
Microsoft	Trojan:Win32/Weelsof.C	20120921
Norman	W32/Troj_Generic.ECFOP	20120921
nProtect	Trojan.Generic.KDV.733788	20120921
Panda	-	20120921
PCTools	-	20120921
Rising	-	20120921
Sophos	Mal/Generic-L	20120921
SUPERAntiSpyware	-	20120911
Symantec	Trojan.Ransomlock	20120921
TheHacker	-	20120920
TotalDefense	-	20120920
TrendMicro	-	20120921
TrendMicro-HouseCall	TROJ_GEN.F47V0918	20120921
VBA32	-	20120921
VIPRE	Trojan.Win32.Generic!BT	20120921
ViRobot	Trojan.Win32.A.Weelsof.80896.A	20120921

Comments
Votes
Additional informationssdeep
 1536:PziG/T2WnC5XuqK2ADNLxAX3Tgc98pgmbBIfQlDdwhy:PzVn0vADNlAX38XFzah 
TrID
 Win32 Executable Generic (68.0%)
 Generic Win/DOS Executable (15.9%)
 DOS Executable Generic (15.9%)
 Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEiD packer identifier
 Armadillo v1.71 
ExifTool
MIMEType.................: application/octet-stream
Subsystem................: Windows GUI
MachineType..............: Intel 386 or later, and compatibles
TimeStamp................: 2012:09:18 16:15:48-07:00
FileType.................: Win32 EXE
PEType...................: PE32
CodeSize.................: 9728
LinkerVersion............: 9.0
EntryPoint...............: 0x3380
InitializedDataSize......: 139776
SubsystemVersion.........: 5.0
ImageVersion.............: 0.0
OSVersion................: 5.0
UninitializedDataSize....: 0
Portable Executable structural information
Compilation timedatestamp.....: 2012-09-18 23:15:48
Target machine................: 0x14C (Intel 386 or later processors and compatible processors)
Entry point address...........: 0x00003380

PE Sections...................:

Name        Virtual Address  Virtual Size  Raw Size  Entropy  MD5
.text                  4096          9640      9728     6.04  1fc8837ee95ae8ed942bc85047adb43e
.rdata                16384          4054      4096     5.24  aeb8b42dd071f29e161d7cdbec6c2de0
.data                 20480        118988     49664     7.97  f97b3a484cc212c120839a68fa77ea7d
.rsrc                143360         16112     16384     5.88  7d38cd7af9710118275626a6cbb582da

PE Imports....................:

[[SHLWAPI.dll]]
StrCmpNIW, PathRenameExtensionW, PathFindExtensionA, PathCommonPrefixW, PathIsUNCW, PathFindExtensionW, StrStrIA, PathCanonicalizeW, PathIsRelativeW, PathIsDirectoryW, PathRemoveBackslashW, StrToIntExW, PathIsRootW, PathAddBackslashA, PathIsURLW, PathFileExistsW, PathAddBackslashW, SHGetValueW, StrCmpIW, SHDeleteValueW, PathStripToRootW, PathCombineW, PathRemoveExtensionW, PathStripPathW, SHDeleteKeyW, PathAppendA, PathIsFileSpecW, PathRemoveFileSpecW, SHCreateStreamOnFileW, StrStrIW, PathAppendW, AssocQueryStringW, PathRemoveFileSpecA, StrToIntW, StrCmpW, StrCmpNW, PathFindFileNameW, PathFindFileNameA, StrStrW, PathRemoveBlanksW, PathFileExistsA

[[KERNEL32.dll]]
CloseHandle, GetLastError, InitializeCriticalSectionAndSpinCount, HeapFree, GetStdHandle, EnterCriticalSection, GetModuleFileNameW, WaitForSingleObject, GetVersionExW, FreeLibrary, QueryPerformanceCounter, IsDebuggerPresent, HeapAlloc, GetVersionExA, GetEnvironmentStringsW, FlushFileBuffers, LoadLibraryA, WaitForSingleObjectEx, GetModuleFileNameA, DeleteCriticalSection, GetCurrentProcess, GetCurrentProcessId, WideCharToMultiByte, TlsGetValue, MultiByteToWideChar, GetStartupInfoW, SetFilePointerEx, GetProcAddress, InterlockedCompareExchange, SetFilePointer, RaiseException, GetFileSizeEx, CreateThread, GetModuleHandleA, ReadFile, InterlockedExchange, SetUnhandledExceptionFilter, WriteFile, TryEnterCriticalSection, GetSystemTimeAsFileTime, GetACP, GetModuleHandleW, SetEvent, LocalFree, TerminateProcess, FreeLibraryAndExitThread, InitializeCriticalSection, CreateFileW, FindClose, InterlockedDecrement, Sleep, GetFileType, GetTickCount, TlsSetValue, CreateFileA, ExitProcess, GetCurrentThreadId, LeaveCriticalSection, GetFileSize, SetLastError, InterlockedIncrement

[[MSVCRT.dll]]
_except_handler3, __p__fmode, __wgetmainargs, _exit, __p__commode, __setusermatherr, __dllonexit, _onexit, exit, _XcptFilter, _initterm, _controlfp, _wcmdln, strlen, _adjust_fdiv, __set_app_type

[[USER32.dll]]
RedrawWindow, RegisterWindowMessageW, EqualRect, GetCapture, LockSetForegroundWindow, LoadBitmapA, BeginDeferWindowPos, ScrollWindowEx, SetMenuItemInfoA, DialogBoxParamW, SetActiveWindow, EndDeferWindowPos, GetClassInfoA, DestroyIcon, GetWindowModuleFileNameW, GetKeyboardLayoutList, SystemParametersInfoW, RegisterClassA, DeleteMenu, SetWindowsHookExA, IsDialogMessageW, IsRectEmpty, IsDialogMessageA

[[SETUPAPI.dll]]
SetupPromptForDiskA

PE Resources..................:

Resource type            Number of resources
RT_ICON                  6
RT_GROUP_ICON            1

Resource language        Number of resources
ENGLISH US               7
First seen by VirusTotal
 2012-09-18 19:49:37 UTC ( 2 Tage, 21 Stunden ago ) 
Last seen by VirusTotal
 2012-09-21 16:23:37 UTC ( 27 Minuten ago ) 
File names (max. 25)
 ms.exe 
 0.8970216381361994.exe 
 yzgqdgtj.exe 
 ithlafmp.exe 
 cslazggh_old.nxe 
 80da13b1bffaf29a4d05941d63510fb4 
 file-4533320_exe 
 rvghtpnk.exe 
 phdpsljt.exe 
 hykngrfn.exe

ciao, andreas

[knoepfchen27]

Hallo Andreas,

nach langem Kampf habe ich jetzt endlich die Updates(SP2 &Erweiterung) wie gefordert installiert.
Jetzt schicke ich dir die neuen LOG Dateien.

Wie soll ich dann weiter machen und was soll ich mit den gesendeteten Daten von dir machen??
Also die Dateizeilen aus deiner vorherigen Nachricht?

Soll ich jetzt dann die Punkte 5-7 durchführen?

Lg und schönen Abend dir noch

[john.doe]

Hallo Knoepfchen,

Wie soll ich dann weiter machen und was soll ich mit den gesendeteten Daten von dir machen??

Die sind hauptsaechlich fuer die neugierigen Mitleser gedacht.

Soll ich jetzt dann die Punkte 5-7 durchführen?

ciao, andreas

[knoepfchen27]

Hey Andreas,

hier die gewünschten Logdateien von Punkt 5...

ich mach dann mal weiter mit 6&7.

Lg

[knoepfchen27]

So und hier noch die Datei von Punkt 6. ich hoffe du kannst damit was anfangen..??

Ich fang dann jetzt mit Punkt 7 an.

Grüße

[john.doe]

Hallo Knoepfchen,

Emsisoft hat nur die Quarantaene von Avira gefunden.

ciao, andreas

[knoepfchen27]

So mit Punkt 7 bin ich jetzt auch durch.

Ich schicke dir auch hierfür wieder die LOG Datei.

Haben wir es dann geschafft???

Lg

[john.doe]

Hallo knoepfchen,

Haben wir es dann geschafft?

Mit Schritt 2 sind wir jetzt fertig. Kommen wir zu Schritt 3.

0.) Im Sicherheitscenter ist Einiges abgestellt worden, wurde das bewusst so gemacht?

1.) Deinstallation ueber Kommandozeile

[Win]r => cmd (eintippeln) => [Strg][Umschalt][Enter]

Jetzt Zeile fuer Zeile folgendes Eintippeln oder jeweils Markieren, Kopieren und mit Mausklick rechts ins schwarze Fenster => Einfuegen und jeweils Enter druecken:

Code:

MsiExec.exe /X "{08234a0d-cf39-4dca-99f0-0c5cb496da81}"
MsiExec.exe /X "{18455581-E099-4BA8-BC6B-F34B2F06600C}"
MsiExec.exe /X "{2318C2B1-4965-11d4-9B18-009027A5CD4F}"
MsiExec.exe /X "{58E65E96-6649-4CBE-9382-35326D694E6F}"
MsiExec.exe /X "{8EE94FD8-5F52-4463-A340-185D16328158}"
MsiExec.exe /X "{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}"
MsiExec.exe /X "{D360FA88-17C8-4F14-B67F-13AAF9607B12}"
MsiExec.exe /X "BabylonToolbar"
exit

2.) Wofuer benoetigst du Java? Selbst in der aktuellsten Version sind Sicherheitsluecken, durch die jederzeit weitere Schaedlinge auf deinen Rechner kommen koennen. Falls du es nicht zwingend benoetigst, dann empfehle ich das komplett zu deinstallieren.

3.) Deinstalliere:

• Java(TM) 6 Update 22
• Adobe Reader X (10.1.2) - Deutsch
• Adobe Flash Player 10 ActiveX
• LiveUpdate 3.2 (Symantec Corporation)
• VLC media player 1.1.6

Falls nicht gebraucht, dann noch:

• Microsoft Works
• HP Update
• Adobe Acrobat 4.0
• Shop for HP Supplies

4.) Entferne die gelbe Pest mit dem Norton Removal Tool.

5.) Java entfernen

Deine Javaversion ist veraltet. Da einige Schaedlinge ueber Java-Exploits in das System eindringen, muss Java aktualisiert werden und alte Versionen muessen vom System entfernt werden, da die alten Versionen ein Sicherheitsrisiko darstellen. Lade JavaRa (Version 1.1.6) von SingularLabs herunter und entpacke es auf den Desktop. Nimm die Windows Binary. JavaRA ist geeignet fuer Windows Windows 9x, 2k, XP, Vista, 7. Vista und Windows 7-User muessen die Benuterkontensteuerung deaktivieren, Anleitung siehe unten.

• Schliesse alle Browserfenster.
• Doppelklicke die JavaRa.exe, um das Programm zu starten.
• Die Sprache Deutsch auswaehlen und klicke "Select".
• Klicke auf Weitere Funktionen, mache Haken bei Unnoetige JRE Dateien loeschen und [b]Sun Download Manager loeschen[b].
• Klicke auf Start und jeweils auf Ok/Ja und schliesse das Fenster "Additional Tasks" wieder.
• Klicke auf aeltere Versionen loeschen, um alte Java-Versionen, die auf dem Rechner installiert sind, zu entfernen.
• Klicke auf Ja wenn es verlangt wird. Wenn JavaRa fertig, erscheint eine Notiz, dass ein Logfile erstellt wurde, klicke OK.
• Das Logfile wird im Editor geoeffnet, bitte speichern und spaeter hier posten.
• Rechner neu starten.

Benutzerkontensteuerung deaktivieren bei Win7

Start => ins Suchfeld reinschreiben => msconfig
Es öffnet sich das das Fenster der Systemkonfiguration
Wähle den Reiter Tools => UAC-Einstellungen ändern => Starten

Ziehe den Schieberegler nach unten => Ok.

Nach dem Lauf von JavaRa die Benutzerkontensteuerung wieder aktivieren (Stufe 2).

6.) Installiere (falls erwuenscht):
Toolbars und zus. Programme abwaehlen, immer alle Haken weg!

• http://get.adobe.com/de/flashplayer/
• http://get.adobe.com/de/reader/ oder besser http://www.tracker-software.com/prod...iewer/download
• http://www.videolan.org/vlc/
• http://secunia.com/products/consumer/psi/

7.) Nutze Secunia PSI um alle deine Programme auf den aktuellen Stand zu bringen.

8.) Adware suchen mit adwCleaner

• Lade Dir bitte AdwCleaner auf deinen Desktop herunter.
  .
  
  .
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Suche.
• Nach Ende des Suchlaufs oeffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner naechsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

ciao, andreas