IHR SEID ALLE INFECTED
die den cEngine Lite Edition crypter benutzt habt


ich hab meinen pi server gecrypted und ne gecryptete server.exe gekriegt, ist ja standart

JEDOCH

droppt diese gecryptete server.exe noch nen anderen pi server der ganz sicherlich nicht euch gehört !!!

dateiname: vcrt80.exe , befindet sich entweder hier : C:\WINDOWS\system32\vcrt80.exe oder hier : C:\WINDOWS\system32:vcrt80.exe


LALALALASST EUCH NICHT VERARSCHEN


vorallem nicht von so einem huso



vt scan der datei:

http://www.virustotal.com/de/analisis/f08ab982be0095ee00b57b7797a82a0e

anubis scan der datei: ( noch in bearbeitung )
http://anubis.iseclab.org/?action=result&task_id=147276d6495cdc3e4a5cde1e7232c2b63

wär nett von uch wenn ihr noch weitere scans anstellen könntet
download:
http://rapidshare.com/files/220470194/lol_xD_trojaner.rar

Cyberhood (http://free-hack.com/member.php?u=49854) = Böse Böse

Kann diese vcrt80.exe nicht finden :/

von was wird der server angeblich gedroppt?
vom builder oder von der stub?
die stubs haben entpackt 18 und 9 kb
da wird eher kein pivy server drin stecken ;)
führe doch den server mal in einer sandbox aus ;)

ich habe es geahnt das er infected war habe es aber nicht gesagt weil dann wieder von jedem kommen würde blablabla dann lad ihn nicht herunte wenn du denkst ich stelle hier trojaner ins board -.-. tja ich habe ihn mir nicht heruntergeladen :)

Aber Beleidigen ist auch nicht gerade viel Besser @AlexMiomorsch (http://free-hack.com/member.php?u=53074)

~CurRy~

@Korni22 (http://free-hack.com/member.php?u=43441) :
crypte du doch ne datei mit dem crypter und dann führ sie aus

dann guck im autostart und du wirst ne vcrt80.exe oder vcrt80.dll im autostart finden ! ;)

Parite ist ein alter bekannter :D
Nur zur info: Alle PE Dateien werden damit infiziert, AUCH die voon anderen Laufwerken ;) Also viel Spass beim entfernen ^^

jaja, ich weiss das ich mit dem drecks parite wurm infiziert bin,
aber es ändert nix an der tatsache das der crypter auf ieine art und weise infectetd ist !!!1

hammer -.-
immer solche spastis mit ihren infecteten cryptern das kackt sooooo an.

Alter dann würde ich formtieren, sonst würde ich einen Kondom benutzen wenn du mit anderen Leuten eine Datei teilst :D

seid ihr euch gaaanz sicher denn bei mir ist im system 32 gar nix und wenn ichs ausführe au nix???

Hab mir das Teil auch mal angeguckt.
Die, die Vista x64 haben, haben glück gehabt ;)!
Das gecryptete File wird gestartet, allerdings wird keine Datei mehr gedroppt oder gestartet da danach ein Fehler volgt.

Führt das Zeugs am besten unter VM oder Sandboxie aus.
Selber schuld.

Also ich hab seinen Crypter auch auf meinen System getestet , allerdings nur der Builder und mir ist nichts negatives aufgefallen , nur das es als Packer erkannt wurde^^
Ich schätze das nur der Server selbst Infiziert ist , was ja jetzt genug bewiesen wurde

hab ihn gleich mal gebannt^^

MfG

Auch ein Vista x64 over here, hier wird nichts gedroppt (es gibt auch keinen Versuch, selbiges zu tun, wenn ich eine Datei crypte?).

C:\WINDOWS\system32:vcrt80.exe ist kein pfad

Also woran erkenn ich denn das ich infiziert bin also bei mir droppt der gar nix nebenbei, ich bekomme auch keine vcrt80 in irgendeinen ordner, nur was ein bischen auffällig ist das ich IEXPLORER.EXE in meinem Task Manager laufen hab wenn ich diese beende startet die erneut aber sonst keine Anzeichen.

edit: ok grade hat mein ZL verhindert das vcrt80.exe mit explorer kommuniziert also hab ichs doch drauf -.-

lol... Datei schonfasr FD :D:D`?
Datei vcrt80.exe empfangen 2009.04.12 18:00:32 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
http://www.virustotal.com/img/loader.gif
Ergebnis: 37/40 (92.5%)

Also woran erkenn ich denn das ich infiziert bin

cmd --> netstat -o

Prüfen ob dein PC iwo. connected.

wie bekomm ich den scheiß jetzt wieder runter?!

Scheint, als wäre es doch infiziert - wurde mir gerade von Olly/IDA und ihm selbst bestätigt. Nun gut, habe ich mal wieder etwas zum Analysieren.

maoshe, der Pfad ist vollkommen korrekt (hust ADS (http://de.wikipedia.org/wiki/Alternate_Data_Streams)).

also is der crypter nicht infected sondern dieser trottel alexmiomorsch?

war die infizierte detei ein wurm ?? :D

also habe grade unter netstat -o geschaut stehen aber alle sachen nur auf wartend so dann hab ich im Taskmanager geschaut und da war ein prozess der hieß system32:vcrt80.exe den hab ich aber einfach gekillt und jetzt ist nixmehr. Würde jetzt gerne wissen was los ist. Ist der Crypter infected oder wie siehts aus?

doch der crypter war infiziert..
ich habe die datei im system32 ordner auch net aber das gleiche wie Blizzardo (http://free-hack.com/member.php?u=51219) das sich der IEXPLORER.EXE immer wieder startet!

hat einer mit dem cryptersteller gesprochen was die datei machst, stealt, löscht,..?

Der Crypter ist nicht direkt infected, jedoch die Stubs, die er generiert (zwei RunPE-Aufrufe, siehe auch anderer Thread).

Die infizierte Datei, die gedroppt wird (auf C:\, also Entwarnung für UAC-Nutzer; möglicherweise jedoch als ADS), heißt vcrt80.exe (es gibt eine vcrt80.dll, C-Runtime, diese also nicht löschen) und ist ca. 9 kb groß.

Sie injected sich unter anderem in den Explorer, mache evtl. eine komplette Analyse, wenn's noch spannender wird...

Also ich habe die Sachen grade erfolgreich aus dem Taskmanager löschen können kommt auch net wieder und mein ZL hats auch einmal geblockt mein RTHS... prozess war auch iwie auffällig deshalb einfach geclosed und jetzt ist nixmehr hmm komisch

die datei scheint zu bewirken das der Explorer sich immer wieder auf http://sponsorads.de verbindet...sogesagt macht er damit kohle pro verbindung auf die seite!

edit: die system32:vcrt80.exe hab ich auch per tastmanager beendet, aber wenn ich den iexplorer.exe beende, kommt diese weiterhin immer wieder.

lol wie lahm...und das wegn werbung

Bei solchen fällen sollte man ehrlich mal dien Troja auf einen USB stick packen und einfach mal zu den bullen. wie man sich den eingefangen hat weiß man nicht Antivir hats erkannt und fertig.

Sowas ist echt scheiße und bringt schlechten ruf für die Hp. leider kann man sich dagegen nicht schützen(hinsichtlich FH)

eher money...durch die verbindungen auf die layer seite, bekommt er ja geld^^

http://img17.imageshack.us/img17/8125/taskd.jpg

also bei mir sind keine verdächtigen Prozesse mehr, hab ich ihn vielleicht gekillt? Achja und vll wollte der crypter ja auch nur auf die ads seite verlinken dass er damit eld macht unbemerkt, oder war er aufjedenfall bösartig?

also wie krigt man die scheisse denn wieder weg?

Lasst Malwarebytes durchlaufen und gut ist.
Und wehe mir kommt einer mit Spybot oder Ad-Aware -.-

Also zusammengefasst:
Vista User kann das teil nen scheiß dreck, wenn Uac an ist.
7 User auch, aber nur wenn UAC auf die vorletzte oder höher gestellt ist.
Die meisten unter Vista sind infected. Guckt einfach mal im Autostart, welche Datei ihr nicht kennt, guck euch den Pfad an, wenns ein ADS Pfad ist (z. B. C:\Windows:virus.exe) per cmd die datei löschnen...

@I-Ein Team-Mitglied Einer von euch müsste doch die IP von dem Typen haben. Ortet ihn doch einfach, und zeigt ihn an. Das können auch alle machen die infiziert sind...

EDIT// Lol Windows erkennt ihn doch. Müsste nicht bei allen die den Defender haben das teil sofort anschlagen?

@hackerking (http://free-hack.com/member.php?u=50553): datei hat den pfad: system32:vcrt80.exe ... wie lösch ich die über cmd?

haha lol ich glaub manche hier haben kein Plan, das Ding hat nichts mit LayerAds zu tun ihr noobs man o man.
Scheiße ey was für noobs es gibt.

ps: ich wette wer auch immer das gesagt hat der is komplett mit Trojanern und was weiß ich infected xD

@ the_godfather http://de.wikipedia.org/wiki/Alternate_Data_Streams#Entfernen_eines_ADS

@nuki oO was hast du den. Oh man. Schalt lieber den PC aus und trink nen kaffee...

Ist das dein Ernst, dass du nicht weisst wie du eine Datei löscht? o_O

layer ads .. LooL
Ihr habt ja mal überhaupt keinen Plan was hier ab geht!

100% agree 2 nuki

thx epi endlich ma wer der auch ahnung hat :-D

selbst wenn das teil nur ne msgbox zeigen würde würd ich ihn bannen. das is einfach assozial was er macht. und er hatte wohl eine vorgeschichte, dass er den auch überhaupt realesed hatte.

das selbe war bei mir auch -.-

Kann mal hier jemand Closen? Jeder hat jetzt glaub ich begriffen worum's geht...

ich fand die Geschichte lustig :-D
Cyberhood is der beste :-D

Lass evt mal das gespamme?
Du hast 3 Posts hier und alle 3 waren nur gespamme und keinem hat es was gebracht.
Auserdem, du hast auch mal nen boon oder?

Sowas ist echt voll der SScheiisss wie nötig muss mann es haben und sozusagen
dem eigenen Team ein Tro unterjubeln echt kein verständnis für den Typen !

Wünsche allen Infizierten viel glück und hoffe es wird nicht zum forma kommen :D

und ich weis immernoch nicht wie ich den spass wieder runter bekomm :/
die methode von wiki geht nicht, da die datei nicht gefunden wird, also sie ist nicht im ordner system32 & net auf meim pc..aber troztdem öffnet sich die iexplorer.exe immer wieder..also sie ist aktiv..aber irgentwie net da?!?!

@sp1nny (http://free-hack.com/member.php?u=53871): pfff lol

Wenn ich cmd gehe Netstat und schaue sind da 6 oder 7 sponsored.de ...


heisst das ich bin auch infiziert?

Mach mal deinen Firefox aus. Ich Glaube das ist nur wegen Free-Hack.com (der Werbung)

nope ist es net...

Habe alles aus aber trotzdem werden noch 4 sponsored angezeigt

Da ich gerade keine Zeit habe mir das anzuschauen, ob das Fake/Verarsche/Malware/Koks/whatever ist, werde ich den Thread hier einfach closen, sollte weiter rumgespammt werden. Bleibt konstruktiv - egal, was das nun ist - kkthx

hab Malwarebytes durchlaufen lassen, hat auch 5 datein gefunden und gelöscht.
nach dem neustart kam das:
http://i40.tinypic.com/24xie5c.jpg
und der ganze shice ist wieder da :/

werd ich wohl doch formatieren müssen -.-

Sorry für diesen Offtopic Beitrag, aber ich muss es einfach loswerden.
Ich muss sagen, dieser Thread "made my day" *rofl*. Wenn ihr keine Ahnung habt,
was ihr da überhaupt macht, dann lasst doch entlich mal die Finger davon.
Wenn ihr das nicht könnt, dann flennt hier nicht rum ihr seit infisziert.
Sorry, aber das ist eigene Dummheit und MUSS Bestraft werden.

cmd->msconfig->systemstart->die datei rausnehmen.

danach

abgesicherten modus booten-> datei löschen->sollte entfernt sein.

gg passt nicht zum thema aber vill hilfts den anderen jah.

heisst das ich bin auch infiziert?


Was spricht dagegen?
Virenscan machen und mit Malwarebytes und dann bitte nicht mehr hier rumspamen.
Danke.

Ich war mitten im Coden und bum .. meine tastatur ging nicht meine maus schon im mein code schreibt sich wer " Hey Code-C4" <- SCHOCK denk ma lol direct pc i - net raus restart ms config autostart entfernen sirect in icq anschreiben und kommt rüber bei tv und löscht mir alle trojaner weg ... das blöde ist nur er hat ein Sys Crasher hinterlassen ... nach dem 2 ten restart also eig.. wollt ich jetzt mein pc starten ... ging der net er blieb einfach beim start Hängen -.- egal was ist .. denk ma "nicht aufregen" ... jetzt versuch ich grad meine Codes zu retten meinne tools ey das Is so ein ************************************************** ***** der kann sich mal **************************************** und ************ wenn ich weiss wo er wohnt dann komme ich direkt vor seine tür ... ob er will oder net ..

Und jetzt versuchst du das gleiche mit deinem infizierten Crypter?
Netter Versuch aber du bist FAIL!

hmm habe den Crypter auch gehabt wollte grad cs zocken ja Steam account weg pw und mail hat er geändert anscheint aber ich finde die datei nicht in system32 ordner ist die nicht und aktiv in prozesse ist die auch nicht und habe mit hijack this geschaut da ist auch alles in ordnung was mache ich???

Der hat doch auch mal ein PRoxieteil vorgestellt ;)
wahrscheinlich sammelt der Accz für carders.xx oder wie das board hies.
Naja, bann und fertig

Tja, intelligent gemacht allerdings. Muss man ihm lassen ;)

Code-C4 's Free-Hack.com Account wurde gehackt. Er hat mit dem Release des Crypters nichts zu tun. @ Support : Wenn Ihr Code-C4 glaubt, dann wäre es angemessen Ihm seine Daten an seine E-Mail Adresse zu senden.

Sein Acc wurde geklaut...

war das jetzt ein stealer nur oder bifi oder so??

Das was mit'm gehackten acc von C4 gepostet wurde, war Poison Ivy

Code-C4 hat mit dem allem hier NIX zu tun.

Ich denk inzwischen weiß jeder ob Code-C4 was damit zu tun hat oder nicht.

Er kann sich ja, wenn bei ihm wieder alles in ordnung ist, bei mir ueber ICQ melden.

Zum Thread Thema selber, gibts noch etwas wichtiges zu sagen? :)

Wenn ja, denkt dran:


Da ich gerade keine Zeit habe mir das anzuschauen, ob das Fake/Verarsche/Malware/Koks/whatever ist, werde ich den Thread hier einfach closen, sollte weiter rumgespammt werden. Bleibt konstruktiv - egal, was das nun ist - kkthx