treibius
06.05.2010, 22:23
Hallo ich hab mir einen Wurm eingefangen denke ich beim Computer Start kommt direkt eine Fehlermeldung das ich mir etwas runterladen soll.
Alle Exe Dateien wurden anfangs geblockt.
Habe geguckt und denke es ist eine Datei mit dem namen smss.exe
hier ist der Virus-total log von der Datei
Antivirus Version letzte aktualisierung Ergebnis a-squared4.5.0.502010.05.06-AhnLab-V32010.05.07.002010.05.06-AntiVir8.2.1.2362010.05.06TR/FakeAV.45056Antiy-AVL2.0.3.72010.05.06-Authentium5.2.0.52010.05.06-Avast4.8.1351.02010.05.06-Avast55.0.332.02010.05.06-AVG9.0.0.7872010.05.06-BitDefender7.22010.05.06-CAT-QuickHeal10.002010.05.04-ClamAV0.96.0.3-git2010.05.06-Comodo47822010.05.06Heur.SuspiciousDrWeb5.0.2.0330 02010.05.06-eSafe7.0.17.02010.05.06-eTrust-Vet35.2.74722010.05.06-F-Prot4.5.1.852010.05.06-F-Secure9.0.15370.02010.05.06Suspicious:W32/Malware!GeminiFortinet4.0.14.02010.05.05-GData212010.05.06-IkarusT3.1.1.84.02010.05.06-Jiangmin13.0.9002010.05.06-Kaspersky7.0.0.1252010.05.06-McAfee5.400.0.11582010.05.06-McAfee-GW-Edition2010.12010.05.06-Microsoft1.57032010.05.06-NOD3250922010.05.06-Norman6.04.122010.05.06-nProtect2010-05-06.022010.05.06-Panda10.0.2.72010.05.06-PCTools7.0.3.52010.05.06-Prevx3.02010.05.06High Risk Fraudulent Security ProgramRising22.46.03.042010.05.06-Sophos4.53.02010.05.06Mal/EncPk-NSSunbelt62712010.05.06-Symantec20091.2.0.412010.05.06-TheHacker6.5.2.0.2772010.05.06-TrendMicro9.120.0.10042010.05.06PAK_Generic.001Tre ndMicro-HouseCall9.120.0.10042010.05.06-VBA323.12.12.42010.05.06-ViRobot2010.5.6.23042010.05.06-VirusBuster5.0.27.02010.05.06- weitere Informationen File size: 44544 bytesMD5...: db41868587c95a01aaa2f1b254f37c88SHA1..: 8f0efbb2b8a3abfde32076000995d42bb80ebc38SHA256: bd9c812e5fd177cb502f25265115c6752edca4295e3ef9e13e 60fdc36905581essdeep: 768:dBYFvsPzboLlriC1JWOTFkaP4mrDnnD3gRbcixa4i5YtyI ++hj:d6tsPzkpr
i2acFjwRFxlXtyIZt
PEiD..: -PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x1b5e0
timedatestamp.....: 0x483c5422 (Tue May 27 18:34:10 2008)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x11000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x12000 0xa000 0x9800 7.85 b2ae3d75e72a768d6d814153aeffbec0
UPX2 0x1c000 0x1000 0x200 3.89 97a34d0a9dd3a451947b3a825f61c1ee
( 7 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> ADVAPI32.dll: AddAce
> ole32.dll: OleRun
> oleaut32.dll: VariantInit
> RPCRT4.dll: NdrOleFree
> USER32.dll: GetDC
> VERSION.dll: VerFindFileW
( 0 exports )
RDS...: NSRL Reference Data Set
-trid..: Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
packers (Kaspersky): PE_Patch.UPX, UPXpdfid.: -Symantec Reputation Network: Suspicious.Insight http://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=7110245600196098AE5E00ACA CFEC400A2CDD2E8' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=7110245600196098AE5E00ACA CFEC400A2CDD2E8</a>packers (F-Prot): UPX
Ich benutze Windows 7 wenn jemand hilfe weiß hab mit Tcp viewer schon drübergeschaut und hatte ne verbindung zu mamapapalol.com
deswegen denke ich das ich infiziert bin.
Schonmal Danke für eure Hilfe
Treibius
Alle Exe Dateien wurden anfangs geblockt.
Habe geguckt und denke es ist eine Datei mit dem namen smss.exe
hier ist der Virus-total log von der Datei
Antivirus Version letzte aktualisierung Ergebnis a-squared4.5.0.502010.05.06-AhnLab-V32010.05.07.002010.05.06-AntiVir8.2.1.2362010.05.06TR/FakeAV.45056Antiy-AVL2.0.3.72010.05.06-Authentium5.2.0.52010.05.06-Avast4.8.1351.02010.05.06-Avast55.0.332.02010.05.06-AVG9.0.0.7872010.05.06-BitDefender7.22010.05.06-CAT-QuickHeal10.002010.05.04-ClamAV0.96.0.3-git2010.05.06-Comodo47822010.05.06Heur.SuspiciousDrWeb5.0.2.0330 02010.05.06-eSafe7.0.17.02010.05.06-eTrust-Vet35.2.74722010.05.06-F-Prot4.5.1.852010.05.06-F-Secure9.0.15370.02010.05.06Suspicious:W32/Malware!GeminiFortinet4.0.14.02010.05.05-GData212010.05.06-IkarusT3.1.1.84.02010.05.06-Jiangmin13.0.9002010.05.06-Kaspersky7.0.0.1252010.05.06-McAfee5.400.0.11582010.05.06-McAfee-GW-Edition2010.12010.05.06-Microsoft1.57032010.05.06-NOD3250922010.05.06-Norman6.04.122010.05.06-nProtect2010-05-06.022010.05.06-Panda10.0.2.72010.05.06-PCTools7.0.3.52010.05.06-Prevx3.02010.05.06High Risk Fraudulent Security ProgramRising22.46.03.042010.05.06-Sophos4.53.02010.05.06Mal/EncPk-NSSunbelt62712010.05.06-Symantec20091.2.0.412010.05.06-TheHacker6.5.2.0.2772010.05.06-TrendMicro9.120.0.10042010.05.06PAK_Generic.001Tre ndMicro-HouseCall9.120.0.10042010.05.06-VBA323.12.12.42010.05.06-ViRobot2010.5.6.23042010.05.06-VirusBuster5.0.27.02010.05.06- weitere Informationen File size: 44544 bytesMD5...: db41868587c95a01aaa2f1b254f37c88SHA1..: 8f0efbb2b8a3abfde32076000995d42bb80ebc38SHA256: bd9c812e5fd177cb502f25265115c6752edca4295e3ef9e13e 60fdc36905581essdeep: 768:dBYFvsPzboLlriC1JWOTFkaP4mrDnnD3gRbcixa4i5YtyI ++hj:d6tsPzkpr
i2acFjwRFxlXtyIZt
PEiD..: -PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x1b5e0
timedatestamp.....: 0x483c5422 (Tue May 27 18:34:10 2008)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x11000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x12000 0xa000 0x9800 7.85 b2ae3d75e72a768d6d814153aeffbec0
UPX2 0x1c000 0x1000 0x200 3.89 97a34d0a9dd3a451947b3a825f61c1ee
( 7 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> ADVAPI32.dll: AddAce
> ole32.dll: OleRun
> oleaut32.dll: VariantInit
> RPCRT4.dll: NdrOleFree
> USER32.dll: GetDC
> VERSION.dll: VerFindFileW
( 0 exports )
RDS...: NSRL Reference Data Set
-trid..: Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
packers (Kaspersky): PE_Patch.UPX, UPXpdfid.: -Symantec Reputation Network: Suspicious.Insight http://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=7110245600196098AE5E00ACA CFEC400A2CDD2E8' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=7110245600196098AE5E00ACA CFEC400A2CDD2E8</a>packers (F-Prot): UPX
Ich benutze Windows 7 wenn jemand hilfe weiß hab mit Tcp viewer schon drübergeschaut und hatte ne verbindung zu mamapapalol.com
deswegen denke ich das ich infiziert bin.
Schonmal Danke für eure Hilfe
Treibius