WinFuture-Forum.de: Trojan-psw.win32.steam.an.. - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
Seite 1 von 1

Trojan-psw.win32.steam.an..


#1 Mitglied ist offline   Tobbs 

  • Gruppe: Mitglieder
  • Beiträge: 3
  • Beigetreten: 28. März 08
  • Reputation: 0

geschrieben 28. März 2008 - 21:04

hallo zusammen
habe mir heute eventuell den oben gennanten trojaner gefangen,weiss es aber nicht ganz genau.
es war eine 1mb große datei wo ein bild drin seollte es waren aber nur eine verknüpfung mit der endung jpg und eine datei mit dem namen passtealer.jpg da,da mir passstealer.jpg seltsam vorkam hab ich diese nicht mit winrar entpackt nur die andere,es war keine bilddatei wie ich fälschlicherweise annahm,sondern es kam eine windowseingabeaufforderung für eine zehntelsekunde und dann nix.
ich weiss jetzt nicht inwiefern beide dateien zusammenarbeiten, normalerweise ist da ja ein passstealer, aber bei mir wurden keine passwörter verfälscht oder geändert, und mein antivirenprogramm sopwie hijackthis hat auch nix gefunden.
dann hab ich hier den thread entdeckt dass schon jemand dieses problem hatte, hab mir das programm gmer runtergeladen, und die anweisungen genau befolgt mit rootkit usw.
hier mein logfile,ich hoffe ihr könnt mir helfen.vielen dank schonma im voraus.
alternativ falls das hier eingefügte unleserlich ist für euch hab ich das logfile auch noch separat gesüeichert bei mir,kann es aber nicht hochladen:-(



GMER 1.0.14.14205 - http://www.gmer.net
Rootkit scan 2008-03-28 20:58:04
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT sptd.sys ZwCreateKey [0xF745C0D0]
SSDT sptd.sys ZwEnumerateKey [0xF7461E2C]
SSDT sptd.sys ZwEnumerateValueKey [0xF74621BA]
SSDT sptd.sys ZwOpenKey [0xF745C0B0]
SSDT sptd.sys ZwQueryKey [0xF7462292]
SSDT sptd.sys ZwQueryValueKey [0xF7462112]
SSDT sptd.sys ZwSetValueKey [0xF7462324]

---- Kernel code sections - GMER 1.0.14 ----

? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text USBPORT.SYS!DllUnload F5BC368E 5 Bytes JMP 865D01C8
? System32\Drivers\aj73x376.SYS Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.14 ----

.text C:\Programme\Internet Explorer\iexplore.exe[2892] USER32.dll!DialogBoxParamW 7E37555F 5 Bytes JMP 444DF301 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2892] USER32.dll!DialogBoxIndirectParamW 7E382032 5 Bytes JMP 446717EF C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2892] USER32.dll!MessageBoxIndirectA 7E38A04A 5 Bytes JMP 44671770 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2892] USER32.dll!DialogBoxParamA 7E38B10C 5 Bytes JMP 446717B4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2892] USER32.dll!MessageBoxExW 7E3A05D8 5 Bytes JMP 446716FC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2892] USER32.dll!MessageBoxExA 7E3A05FC 5 Bytes JMP 44671736 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2892] USER32.dll!DialogBoxIndirectParamA 7E3A6B50 5 Bytes JMP 4467182A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2892] USER32.dll!MessageBoxIndirectW 7E3B62AB 5 Bytes JMP 445016B6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3620] USER32.dll!DialogBoxParamW 7E37555F 5 Bytes JMP 444DF301 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3620] USER32.dll!DialogBoxIndirectParamW 7E382032 5 Bytes JMP 446717EF C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3620] USER32.dll!MessageBoxIndirectA 7E38A04A 5 Bytes JMP 44671770 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3620] USER32.dll!DialogBoxParamA 7E38B10C 5 Bytes JMP 446717B4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3620] USER32.dll!MessageBoxExW 7E3A05D8 5 Bytes JMP 446716FC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3620] USER32.dll!MessageBoxExA 7E3A05FC 5 Bytes JMP 44671736 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3620] USER32.dll!DialogBoxIndirectParamA 7E3A6B50 5 Bytes JMP 4467182A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3620] USER32.dll!MessageBoxIndirectW 7E3B62AB 5 Bytes JMP 445016B6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 865CF1E8
Device \FileSystem\Fastfat \FatCdrom 85668450
Device \Driver\usbuhci \Device\USBPDO-0 85AB37A0
Device \Driver\usbehci \Device\USBPDO-1 85A931E8
Device \Driver\usbuhci \Device\USBPDO-2 85AB37A0
Device \Driver\PCI_NTPNP6634 \Device\00000046 sptd.sys
Device \Driver\NetBT \Device\NetBT_Tcpip_{98C30E9A-6678-47A2-9E6F-6FC269DC410D} 858DC7A0
Device \Driver\usbuhci \Device\USBPDO-3 85AB37A0
Device \Driver\usbehci \Device\USBPDO-4 85A931E8
Device \Driver\usbuhci \Device\USBPDO-5 85AB37A0
Device \Driver\usbuhci \Device\USBPDO-6 85AB37A0
Device \Driver\Ftdisk \Device\HarddiskVolume1 865D11E8
Device \Driver\Ftdisk \Device\HarddiskVolume2 865D11E8
Device \Driver\iastor \Device\Ide\iaStor0 865601E8
Device \Driver\iastor \Device\Ide\IAAStorageDevice-0 865601E8
Device \Driver\iastor \Device\Ide\IAAStorageDevice-1 865601E8
Device \Driver\Ftdisk \Device\HarddiskVolume3 865D11E8
Device \Driver\Ftdisk \Device\HarddiskVolume4 865D11E8
Device \Driver\NetBT \Device\NetBt_Wins_Export 858DC7A0
Device \Driver\NetBT \Device\NetbiosSmb 858DC7A0
Device \Driver\usbuhci \Device\USBFDO-0 85AB37A0
Device \Driver\usbuhci \Device\USBFDO-1 85AB37A0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 858D47A0
Device \Driver\usbehci \Device\USBFDO-2 85A931E8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 858D47A0
Device \Driver\usbuhci \Device\USBFDO-3 85AB37A0
Device \Driver\usbuhci \Device\USBFDO-4 85AB37A0
Device \Driver\Ftdisk \Device\FtControl 865D11E8
Device \Driver\usbuhci \Device\USBFDO-5 85AB37A0
Device \Driver\usbehci \Device\USBFDO-6 85A931E8
Device \Driver\aj73x376 \Device\Scsi\aj73x3761 85A0B1E8
Device \Driver\aj73x376 \Device\Scsi\aj73x3761Port1Path0Target0Lun0 85A0B1E8
Device \FileSystem\Fastfat \Fat 85668450

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Cdfs \Cdfs 858CB7A0

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\[email protected] 1164544262
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\[email protected] -668659535
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\[email protected] 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\[email protected] 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\[email protected] 0x53 0x57 0x40 0x8A ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\[email protected] C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\0[email protected] 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\0[email protected] 0xB2 0x92 0xF6 0x97 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0[email protected] 0x52 0x61 0xDA 0x7E ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\[email protected] 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\[email protected] 0x53 0x57 0x40 0x8A ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\[email protected] C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\0[email protected] 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\0[email protected] 0xB2 0x92 0xF6 0x97 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0[email protected] 0x52 0x61 0xDA 0x7E ...

---- EOF - GMER 1.0.14 ----
0

Anzeige



#2 Mitglied ist offline   Beavis 

  • Gruppe: aktive Mitglieder
  • Beiträge: 71
  • Beigetreten: 10. August 04
  • Reputation: 0

geschrieben 29. März 2008 - 13:57

Falls du die Dateien noch hast, könntest du sie mal hier untersuchen lassen und du siehst vielleicht, was sie auf deinem PC angestellt haben oder verändert haben und dann kannst du gegebenfalls formatieren, wenn an deinem System rumgepfuscht wurde von den Dateien.

mfG
Beavis

P.S. Darf man fragen, wie du an diese Dateien gekommen bist?
0

#3 Mitglied ist offline   Tobbs 

  • Gruppe: Mitglieder
  • Beiträge: 3
  • Beigetreten: 28. März 08
  • Reputation: 0

geschrieben 29. März 2008 - 14:04

hallo beavis, erstma danke für deine mühen.
das file hab ich nicht mehr, und es ist auch nicht mehr online verfügbar.
es war auf einer downloadseite ein "bild".
es war eine 1mb große datei wo ein bild drin sollte es waren aber nur eine verknüpfung mit der endung jpg und eine datei mit dem namen passtealer.jpg da,da mir passstealer.jpg seltsam vorkam hab ich diese nicht mit winrar entpackt nur die andere,es war keine bilddatei wie ich fälschlicherweise annahm,sondern es kam eine windowseingabeaufforderung für eine zehntelsekunde und dann nix.


ps bis jetzt is noch nix geändert worden
pps könnt ihr mit meinem logfile was anfangen?

mfg
0

#4 Mitglied ist offline   Beavis 

  • Gruppe: aktive Mitglieder
  • Beiträge: 71
  • Beigetreten: 10. August 04
  • Reputation: 0

geschrieben 29. März 2008 - 14:10

Also mit dem Logfile kann ich nichts anfangen, sieht aber auf dem ersten Blick "normal" aus. Hast du denn ein Programm wie z.B. [Ich glaub das darf man hier nicht nennen], mit dem man Images mounten kann? Zumindest kenne ich die sptd.sys von einem Programm wie diesen.

Das Dumme ist halt nur, es scheint als sei alles sauber, aber weiß Gott was diese Datei angerichtet hat. Da wir auch die Datei nicht mehr haben, kann dir also keiner zu 100% sagen, ob dein PC noch sauber ist, oder du lieber alles plätten sollst.

Warst du denn als Administrator unterwegs, als du die Datei ausgeführt hast? Falls ja, dann würde ich definitiv zum Formatieren raten, denn dann kann schon viel angestellt worden sein, was du jetzt nicht erkennst.

mfG
Beavis

Dieser Beitrag wurde von Beavis bearbeitet: 29. März 2008 - 14:11

0

#5 Mitglied ist offline   Tobbs 

  • Gruppe: Mitglieder
  • Beiträge: 3
  • Beigetreten: 28. März 08
  • Reputation: 0

geschrieben 29. März 2008 - 14:39

hallo beavis

so ein programm zum mounten hab ich drauf,dasi st richtig.

war als admin unterwegs ja.

zum formatieren: werde dies wohl dann auch tun, hab das nur nie zuvor gemacht auf meinem pc.
wie es formal geht weiss ich anhand von pcs von kollegen(komplettreinigung quasi) und hab ne gute anleutung gefunden.
nur darf ich meine sachen wie filme, musik, internetverbindung auf festplatte d sichern oder können die auch infiziert sein und ich muss alles aufgeben?
das wäre traurig.

dank dir aufjeden fall schonma für deine hilfe.

Dieser Beitrag wurde von Tobbs bearbeitet: 29. März 2008 - 15:22

0

#6 Mitglied ist offline   Beavis 

  • Gruppe: aktive Mitglieder
  • Beiträge: 71
  • Beigetreten: 10. August 04
  • Reputation: 0

geschrieben 29. März 2008 - 18:26

Also hier gibt es oben einen angepinnten Thread, bei dem du am besten dies und anschließend dies liest. Das sollte dir schon mal gut weiterhelfen.

Persönlich würde ich darauf tippen, dass deine Filme oder Musik selbst nicht infiziert wurden, eher dann deine Abspielsoftware.
Passwörter solltest du so schnell wie möglich von einem sauberen System aus ändern, bevor mit den möglichwerweise geklauten Passwörter das geschieht und du ausgesperrt wirst.

Lade dir die Artikel runter, und dann den Rechner vom Internet trennen und nicht überstürzen -> lieber sorgfältig arbeiten um sich nachher nicht Datenverlust zusätzlich aufregen zu müssen.

Viel Erfolg! :smokin:

mfG
Beavis
0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0