You are not logged in.

Wednesday, April 16th 2014, 6:09pm

Dear visitor, welcome to Avira Support Forum. If this is your first visit here, please read the Help. It explains in detail how this page works. To use all features of this page, you should consider registering. Please use the registration form, to register here or read more information about the registration process. If you are already registered, please login here.

  • "mr999" started this thread

Date of registration:
Jun 29th 2011

Version:
none

Operating System:
Win 7

  • Send private message

1

Wednesday, April 11th 2012, 7:12pm

Neuer Trojaner "adobe.exe" Kein Antivirenprogramm erkennt es!

Hallo,

nach dem mein Facebook-, ebay und hotmailaccount gehackt wurde, der Hacker mich sogar per E-Mail auf russisch angeschrieben hatte ob ich meine account Daten wieder haben möchte, er mit meiner cousine bei facebook auf deutsch gechattet hatte, bin ich auf meiner Suche nach dem Übeltäter auf ein Logfile im Ordner C:\Users\xxx\AppData\Roaming\Adobe gestossen.


Als ich dieses logfile öffnete traff mich der Schlag. Alle Tastatureingaben wurden dort gelogt. Selbst meine Spiel-Steuerungen beim Onlinespiel "world of warcraft".
Der Trojaner erstellt eine Kopie von sich in dem Ordner, C:\Users\xxx\AppData\Roaming\Adobe\Res\temp\AdobeLauchner und unter anderem eine ".sqlite" Datenbank mit allen Passwörtern, die auch im Firefox gespeichert sind und eine keys.db Datei.
Des Weiteren erstellt er einen Autostartprozess. Dieser ist im Taskmanager zu erkennen "adobe.exe*32

Ich habe die adobe.exe 175kb, auch bei Virustotal hochgeladen, jedoch wird von allen 42 Virusscannern keine Meldung ausgegeben...

Auch mein Avira, Norton 360 und malwarebytes melden, daß alles ok ist.
Lediglich Norton 360 insight hat beim prozess gemeldet, daß die aktive Datei adobe.exe*32 bösartig sein kann. (siehe screenshot)
Warum wird es nicht bei einem kompletten Scan angezeigt, auch nicht per Avira Boot CD ?
Hat jemand mit dem Trojaner erfahrungen? Ich möchte gerne, daß alle Daten, Datenbanken und Kopien die er sonst noch irgendwo abgelegt hat gelöscht werden.
Kann ich avira den Trojaner zusenden, damit es nicht noch andere user trifft?

http://imageshack.us/photo/my-images/840/norton360.jpg

Uploaded with ImageShack.us


http://imageshack.us/photo/my-images/163/prozess.jpg/

Uploaded with ImageShack.us

This post has been edited 1 times, last edit by "Michael_Mann" (Apr 18th 2012, 9:46pm)


SuiteBenutzer

Community member

Date of registration:
Feb 16th 2011

Version:
Avira Internet Security

Operating System:
Microsoft Windows Vista Home Premium SP2 und Microsoft Windows 7 Home Premium SP1

  • Send private message

2

Thursday, April 12th 2012, 12:08am

Warum wird es nicht bei einem kompletten Scan angezeigt, auch nicht per Avira Boot CD ?


Wenn der Schädling (aktuell) nicht in der Signatur ist kann er auch nicht erkannt werden. Antivirenprogramme leben nunmal zum Großteil von den Virensignaturen.

Kann ich avira den Trojaner zusenden, damit es nicht noch andere user trifft?


Ja, dass wäre eine gute Maßnahme. Bitte die Datei über das Webformular an Aviras Virenlabor schicken, als "Verdächtige Datei".

Du bekommst dann zwei E-Mails. Die zweite beinhaltet das endgültige Ergebnis. Dieses dann bitte posten.

Ich würde dir im Anbetracht der Situation zum Neu Aufsetzen des Systems raten. So wie du die Symptome schilderst ist es (das System) kompromiert und somit nicht mehr vertrauenswürdig.

  • "mr999" started this thread

Date of registration:
Jun 29th 2011

Version:
none

Operating System:
Win 7

  • Send private message

3

Thursday, April 12th 2012, 7:14am

Ok ich habe es nun hochgeladen, auch an Kaspersky :)

Das absurde ist ja, das die Norton Firewall auf automatische Programmsteuerung eingestellt war, und die adobe.exe auch noch freigegeben hat..das ist so schlecht...
Des Weiteren sollten alle schon minimal verdächtige, völlig unbekannten Dateien doch automatisch blockiert werden.
Ich vermute, daß die sqlite database mit allen accounts und Passwörtern bereits hochgeladen wurde zum ftp des hobby hackers. Dann muß ich wohl Windows komplett neu installieren und sämtliche Passwörter erneut ändern.

Auch hat die Antikeylogger Funktion von Norton 360 völlig versagt. Ich meine, das kann doch nicht so schwer sein, als Antivirenhersteller, das System auf Tastaturaufzeichnungen zu überwachen. Vor allem ist es eine einfache Textdatei gewesen, wo alle Tastaturanschläge gespeichert wurden. Und danach in der sqlite datenbank gespeichert wurden zum zurückversenden.
Wird der Inhalt von Textdateien denn nicht gescannt von einem Antivirenprogramm?
Laut Inhalt der Textdatei war eindeutig zu erkennen das es alles willkürliche Tastatureingaben in Form von : umschalt+strg, google suche nach xyz, 1234, wwwwwwwwwwaaaaaaaaasssssssssddddddd (Spielsteuerung von world of warcraft)^^ usw. waren.
Meiner Meinung nach fehlt es den Antivirenprogrammen an einer intelligenten Suche nach solchen Aufzeichnungen. Und vor allem soll gesucht werden, nach Dateiendungen wie z.B. .*sqlite (auf einem normalen System sind die nämlich nicht drauf) Eventuell bei Programmierern, oder eben Hobby Hackern.

Date of registration:
Apr 15th 2008

Version:
none

Operating System:
Acer All in On DA241HL Android 4.2.2 /Chrome Browser/Dolphin

  • Send private message

4

Thursday, April 12th 2012, 7:17am

War dein Adobe nicht mehr aktuell ??

Ich gehe mal davon aus , das die EXE Datei aus einem ganz normaler Prozess her beruht und es wird hier ehr an was anderem liegen.

Da Adobe neuerdings auch automatisch die Updates verteilt und dort auch Einträge hinterlässt .
KISS for Keep It Simple, Stupid. :thumbsup: :thumbsup:

  • "mr999" started this thread

Date of registration:
Jun 29th 2011

Version:
none

Operating System:
Win 7

  • Send private message

5

Thursday, April 12th 2012, 3:20pm

War dein Adobe nicht mehr aktuell ??

Ich gehe mal davon aus , das die EXE Datei aus einem ganz normaler Prozess her beruht und es wird hier ehr an was anderem liegen.

Da Adobe neuerdings auch automatisch die Updates verteilt und dort auch Einträge hinterlässt .

Nein, es liegt an dieser adobe.exe. Das ist kein "normaler Prozess" sondern ein Schädling.

Date of registration:
Apr 15th 2008

Version:
none

Operating System:
Acer All in On DA241HL Android 4.2.2 /Chrome Browser/Dolphin

  • Send private message

6

Thursday, April 12th 2012, 3:31pm

Ok ich werde das hier mal weiter verfolgen,weil es wundert mich doch schon sehr, nur Norton erkennt es angeblich ,aber Virus Total mit über 40 Scannern nicht?

Ich halte es für ein FP ,sorry aber sowas kann nicht sein ,den Virustotal kann sich hier nicht so täuschen.


Quoted

Ich habe die adobe.exe 175kb, auch bei Virustotal hochgeladen, jedoch wird von allen 42 Virusscannern keine Meldung ausgegeben...
KISS for Keep It Simple, Stupid. :thumbsup: :thumbsup:

This post has been edited 3 times, last edit by "skar29" (Apr 12th 2012, 3:39pm)


Harald.L

Community member

Date of registration:
Jan 31st 2006

Operating System:
Windows 7 Ultimate x64 SP1

  • Send private message

7

Thursday, April 12th 2012, 6:28pm

Und vor allem soll gesucht werden, nach Dateiendungen wie z.B. .*sqlite (auf einem normalen System sind die nämlich nicht drauf) Eventuell bei Programmierern, oder eben Hobby Hackern.

Einspruch euer Ehren! :whistling: Sqlite wird von vielen und immer mehr Programmen als Datenspeicher genutzt. Beispielsweise liegen im Profilordner vom Mozilla Firefox ein paar Sqlite-Dateien. Und nebenbei, Dateinamen sind auch nur Schall und Rauch, ich könnte jederzeit eine Sqlite-Datenbank anlegen die irgendwas.jpg heißt. Klar würde beim Doppelklick die Bildanzeige starten und nichts sinnvolles anzeigen können aber für ein Programm das es weiß könnte diese Datenbank ganz normal benutzt werden.
In der Firma: AntiVir Professional Security 2014 Mehrfachlizenzen unter WinXP+Win7 mit AMC Avira Management Console im Einsatz
Zuhause: Avira Free Antivirus MSE unter Win7 x64 (jedenfalls solange bei Avira Free Komponenten der Ask-Toolbar dabei sind und diese Slideups rechts unten so unsäglich nerven)

  • "mr999" started this thread

Date of registration:
Jun 29th 2011

Version:
none

Operating System:
Win 7

  • Send private message

8

Sunday, April 15th 2012, 8:35am

Ok ich werde das hier mal weiter verfolgen,weil es wundert mich doch schon sehr, nur Norton erkennt es angeblich ,aber Virus Total mit über 40 Scannern nicht?

Ich halte es für ein FP ,sorry aber sowas kann nicht sein ,den Virustotal kann sich hier nicht so täuschen.


Quoted

Ich habe die adobe.exe 175kb, auch bei Virustotal hochgeladen, jedoch wird von allen 42 Virusscannern keine Meldung ausgegeben...
Das ist kein Fakeposting! Ich war ja selbst so erstaunt, daß Virustotal
nix gefunden hat. Naja der Fall ist noch bei avira und Kaspersky in
Bearbeitung. Ich habe noch keine Rückmeldung erhalten.

Norton hat es nicht direkt erkannt, erst als ich dieses Norton Insight ausgeführt habe, bin ich darauf aufmerksam gemacht worden, daß eventuell, wenn schlechtes Wetter ist, die adobe.exe bösartig sein könnte...siehe screenshot....
Wobei es gar keine adobe.exe auf einem normalen System geben sollte...wenn dann heißen die anders.
Und vor allem soll gesucht werden, nach Dateiendungen wie z.B. .*sqlite (auf einem normalen System sind die nämlich nicht drauf) Eventuell bei Programmierern, oder eben Hobby Hackern.

Einspruch euer Ehren! :whistling: Sqlite wird von vielen und immer mehr Programmen als Datenspeicher genutzt. Beispielsweise liegen im Profilordner vom Mozilla Firefox ein paar Sqlite-Dateien. Und nebenbei, Dateinamen sind auch nur Schall und Rauch, ich könnte jederzeit eine Sqlite-Datenbank anlegen die irgendwas.jpg heißt. Klar würde beim Doppelklick die Bildanzeige starten und nichts sinnvolles anzeigen können aber für ein Programm das es weiß könnte diese Datenbank ganz normal benutzt werden.
Jo, das stimmt schon, dennoch habe ich mein Vertrauen in Antivirenprogramme vollkommen verloren.

Harald.L

Community member

Date of registration:
Jan 31st 2006

Operating System:
Windows 7 Ultimate x64 SP1

  • Send private message

9

Sunday, April 15th 2012, 9:13am

Jo, das stimmt schon, dennoch habe ich mein Vertrauen in Antivirenprogramme vollkommen verloren.
Das ist auch gar nicht verkehrt ;) denn die Kunden die in blindem Vertrauen darauf daß sie ja einen Virenscanner haben und deshalb unbedarft auf alles klicken was nicht bei drei auf dem Baum ist, deren PCs hab ich am öftesten hier zum Bereinigen oder neu aufsetzen. Ein Virenscanner läuft in der Erkennung der Realität immer hinterher, das ist ein Hase-und-Igel-Spiel. Ein Virenscanner erzeugt nur einen gewissen Prozentsatz an Schutz, es gibt keinen der tatsächlich 100% schützen kann. Viel wichtiger ist ein Sicherheitskonzept mit entsprechenden Rechte-Einschränkungen und zeitnaher Aktualisierung nicht nur von Windows sondern von den häufigen Einfallstoren Adobe (Flash, Reader), Java, Quicktime usw. sofern installiert. Und nicht zuletzt der Einsatz von Brain.exe :)

Ein neuer Schädling den noch kein Antiviren-Hersteller in Händen hatte kann sich erst mal "austoben" bis er langsam erkannt wird. Zum Glück für uns in Europa treten nicht selten die ersten Fälle in USA oder Asien auf und das Zeugs wird dann bei uns bereits erkannt wenn die Welle zu uns schwappt. Einem Einzelnen der früher betroffen ist hilft das allerdings dann auch nichts.
In der Firma: AntiVir Professional Security 2014 Mehrfachlizenzen unter WinXP+Win7 mit AMC Avira Management Console im Einsatz
Zuhause: Avira Free Antivirus MSE unter Win7 x64 (jedenfalls solange bei Avira Free Komponenten der Ask-Toolbar dabei sind und diese Slideups rechts unten so unsäglich nerven)

Harald.L

Community member

Date of registration:
Jan 31st 2006

Operating System:
Windows 7 Ultimate x64 SP1

  • Send private message

10

Tuesday, April 17th 2012, 1:41pm

Ein Nachtrag, gerade finde ich diesen Beitrag bei Heise wo es darum geht daß jemand
- Webseiten zu Computerspielen infiziert hat (WoW wurde erwähnt, also könnte Interesse bestehen solche Seiten zu besuchen)
- Zeitraum 7. - 15. April könnte auch passen
- Zitat "Malware verteilt, die möglicherweise nicht von aktuellen Virenscannern erkannt wurde" passt auch

Auch wenn dort nichts genaueres steht wie der Schädling heißt usw. mußte ich beim Lesen des Artikels gleich an diesen Fall hier denken.
In der Firma: AntiVir Professional Security 2014 Mehrfachlizenzen unter WinXP+Win7 mit AMC Avira Management Console im Einsatz
Zuhause: Avira Free Antivirus MSE unter Win7 x64 (jedenfalls solange bei Avira Free Komponenten der Ask-Toolbar dabei sind und diese Slideups rechts unten so unsäglich nerven)

  • "mr999" started this thread

Date of registration:
Jun 29th 2011

Version:
none

Operating System:
Win 7

  • Send private message

11

Tuesday, April 17th 2012, 8:57pm

Ein Nachtrag, gerade finde ich diesen Beitrag bei Heise wo es darum geht daß jemand
- Webseiten zu Computerspielen infiziert hat (WoW wurde erwähnt, also könnte Interesse bestehen solche Seiten zu besuchen)
- Zeitraum 7. - 15. April könnte auch passen
- Zitat "Malware verteilt, die möglicherweise nicht von aktuellen Virenscannern erkannt wurde" passt auch

Auch wenn dort nichts genaueres steht wie der Schädling heißt usw. mußte ich beim Lesen des Artikels gleich an diesen Fall hier denken.

Ne, das war schon früher gewesen bei mir. Laut Erstellungsdatum der log.txt (da wo alle Tastaturanschläge gespeichert wurden) war das schon im März.

Ich hatte diesen keylogger "adobe.exe" schon seit dem 18.3.2012 drauf und kein Antivirenprogramm hat es erkannt. Die Datei ist immer noch bei Antivir in der Analyse, von Kaspersky habe ich auch noch keine Antwort erhalten.

Ich vermute ich war Betatester für einen Hobbyhacker. Schaden hat er ja keinen angerichtet, außer Zugriff zu meinen Daten gehabt. Er schrieb auch im Jugendlichen Stil mit meiner Cousine auf Facebook.
Er mailte mir von dem kompromittierten E-Mail Account zum anderen auf russisch:

"Facebook etc.

RU

Эй,

Вы хотите, чтобы ваш счет обратно?

Или заказать что-то
из Amazon?Вы, вероятно, будет в шоке.

Мы хотим, чтобы понять их, чтобы помочь.

их счетахможетеиметьих обратно
0X0238098u23" <<<<<<<<<<<<<<<<<<<<<<<<<<<< Was ist das für eine Zahl?


In Deutsch, laut Translator:
Hey,
Wollen Sie Ihr Konto zurück?
Oder, um etwas von Amazon zu bestellen?

Sie werden wahrscheinlich einen Schock erleiden.
Wir wollen sie verstehen, um zu helfen.
ihren Konten haben können sie wieder


Des Weiteren hinterlies er bei Amazon eine Nachricht im Kalendar über die Termin-Erinnerungs Funktion:

"accounts gehackt – in 3 Tagen fällig
ich werd mal nichts
bestellen, auch wenn ichs könnte. Kleiner Tipp: bei Hackangriffen bringt dir
Antivirensoftware gar nichts!!! Wichtiger ist Wlan verschlüsseln mit einem min.
30 Zeichen langem Passwort (AES 256 bit). Und stehts Https verwenden. Naja werd
dich mal in Zukunft in ruhe lassen. Aber wirklich sicher ist mann NIE!!!"

Dabei nutze ich gar kein W-LAN.....Er wollte mich damit wohl auf eine falsche Spur führen.

Date of registration:
Apr 15th 2008

Version:
none

Operating System:
Acer All in On DA241HL Android 4.2.2 /Chrome Browser/Dolphin

  • Send private message

12

Tuesday, April 17th 2012, 9:26pm

Das klingt ja eh nach kiddis, wie nach einem Hacker,den kein Hacker würde dir jemals antworten und seine Tarnung preisgeben wollen. :D :D :D

Himmelhilf ,wer befreit einem vor diesem Unheil ,etwa doch Linux ?? :D :D :rolleyes: :rolleyes:

Ist ja sehr nett wenn der "Hacker ",ich nenne es mal Anfänger ,dir mitteilt, das dir eine AV Software nichts bringt ,aber da würde ich mir ehr an deiner Stelle mal Sorgen machen ,wegen deinem Surfverhalten !! :thumbsup:
KISS for Keep It Simple, Stupid. :thumbsup: :thumbsup:

This post has been edited 2 times, last edit by "skar29" (Apr 17th 2012, 9:31pm)


Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

13

Tuesday, April 17th 2012, 9:34pm

Himmelhilf ,wer befreit einem vor diesem Unheil ,etwa doch Linux ?? :D :D :rolleyes: :rolleyes:


Wir können uns nur selbst befreien skar , von facebook von windows von allem was und gängelt und uns am denken hindert
der weg ist immer der unbequeme auch das ist klar ...

mehr verrat ich heute nich,,,,,,
:rolleyes: :D

Rajo

Date of registration:
Apr 15th 2008

Version:
none

Operating System:
Acer All in On DA241HL Android 4.2.2 /Chrome Browser/Dolphin

  • Send private message

14

Tuesday, April 17th 2012, 9:35pm

och Rajo nun sei mal bitte nicht so und lasse uns nicht dumm sterben hier :huh: :rolleyes:
KISS for Keep It Simple, Stupid. :thumbsup: :thumbsup:

AlfaMS

Community member

Date of registration:
Mar 3rd 2007

Version:
Avira Antivirus Suite

Operating System:
Windows 8.1 Pro 64 Bit MC & LinuxMint 16 64 Bit

  • Send private message

15

Tuesday, April 17th 2012, 9:36pm

Ich schrieb bereits in einigen Beiträgen dass Linux (bei mir Kubuntu 11.10) ein gutes und IMHO auch wichtiges Zweitbetriebssystem in einer Dual-Boot-Umgebung ist: Jeglicher Internetkontakt sollte darüber laufen, und Windows nur für nicht von Linux unterstützte Dinge wie Fernsehkarten, und natürlich Windowsspiele genutzt werden. Derzeit seit sechs Tagen ohne Windows unterwegs. ;)
Ceterum censeo Avira Forum non esse delendam.

Date of registration:
Apr 15th 2008

Version:
none

Operating System:
Acer All in On DA241HL Android 4.2.2 /Chrome Browser/Dolphin

  • Send private message

16

Tuesday, April 17th 2012, 9:38pm

Alfa du wirst doch nicht etwa Windows untreu werden oder :thumbsup: :thumbsup:

Ne mal erlich ,ich halte sehr viel von Linux ,allerdings ich warte momentan noch auf das 12.04 :D
KISS for Keep It Simple, Stupid. :thumbsup: :thumbsup:

IuK

Community member

  • Send private message

17

Tuesday, April 17th 2012, 9:47pm

Das absurde ist ja, das die Norton Firewall auf automatische Programmsteuerung eingestellt war, und die adobe.exe auch noch freigegeben hat..das ist so schlecht...


Die Avira-Firewall fragt bei unbekannten Programmen grundsätzlich nach. Gibt es schon eine Nachricht aus dem VLab? Gibt es mittlerweile Erkennungen bei virustotal.com? Bitte die Ergebnisse posten. Welche Avira-Version ist installiert (Free mit oder ohne Browser-Schutz)?

Date of registration:
Apr 15th 2008

Version:
none

Operating System:
Acer All in On DA241HL Android 4.2.2 /Chrome Browser/Dolphin

  • Send private message

18

Wednesday, April 18th 2012, 11:11am

@luk soweit ich das verstanden habe,hat er Norten installiert kein Avira ,Avira hat er nur mit Hilfe von der Rescue CD gescannt .


TE schrieb dazu folgendes :


Quoted

Warum wird es nicht bei einem kompletten Scan angezeigt, auch nicht per Avira Boot CD ?
;)

Es sei denn, er hat hier zwei AV Programme gleichzeitig laufen ,aber das Bild zeigt ja Norton ,mit dieser Adobe Datei. :whistling:
KISS for Keep It Simple, Stupid. :thumbsup: :thumbsup:

This post has been edited 2 times, last edit by "skar29" (Apr 18th 2012, 11:17am)


  • "mr999" started this thread

Date of registration:
Jun 29th 2011

Version:
none

Operating System:
Win 7

  • Send private message

19

Wednesday, April 18th 2012, 8:22pm

@luk soweit ich das verstanden habe,hat er Norten installiert kein Avira ,Avira hat er nur mit Hilfe von der Rescue CD gescannt .


TE schrieb dazu folgendes :


Quoted

Warum wird es nicht bei einem kompletten Scan angezeigt, auch nicht per Avira Boot CD ?
;)

Es sei denn, er hat hier zwei AV Programme gleichzeitig laufen ,aber das Bild zeigt ja Norton ,mit dieser Adobe Datei. :whistling:
Nein, ich habe seit Jahren Antivir Personal installiert. Als die Hackerattacke war, hatte ich mit der Avira Boot CD alles gescannt, danach Antivir deinstalliert und Kaspersky installiert und gescannt. Wieder nichts gefunden, Danach Kaspersky deinstalliert und dann erst Norton.

Date of registration:
Apr 15th 2008

Version:
none

Operating System:
Acer All in On DA241HL Android 4.2.2 /Chrome Browser/Dolphin

  • Send private message

20

Wednesday, April 18th 2012, 8:59pm

Naja ich bleibe aber dabei ,versuche mal dein Surfverhalten irgendwie zu ändern ,nur so wirst du auch Ruhe haben davor.

Am besten zum surfen auf Linux setzen und das spielen auf Windows beschränken ;)
KISS for Keep It Simple, Stupid. :thumbsup: :thumbsup: