Avira Support Forum

Hallo,

nach dem mein Facebook-, ebay und hotmailaccount gehackt wurde, der Hacker mich sogar per E-Mail auf russisch angeschrieben hatte ob ich meine account Daten wieder haben möchte, er mit meiner cousine bei facebook auf deutsch gechattet hatte, bin ich auf meiner Suche nach dem Übeltäter auf ein Logfile im Ordner C:\Users\xxx\AppData\Roaming\Adobe gestossen.


Als ich dieses logfile öffnete traff mich der Schlag. Alle Tastatureingaben wurden dort gelogt. Selbst meine Spiel-Steuerungen beim Onlinespiel "world of warcraft".
Der Trojaner erstellt eine Kopie von sich in dem Ordner, C:\Users\xxx\AppData\Roaming\Adobe\Res\temp\AdobeLauchner und unter anderem eine ".sqlite" Datenbank mit allen Passwörtern, die auch im Firefox gespeichert sind und eine keys.db Datei.
Des Weiteren erstellt er einen Autostartprozess. Dieser ist im Taskmanager zu erkennen "adobe.exe*32

Ich habe die adobe.exe 175kb, auch bei Virustotal hochgeladen, jedoch wird von allen 42 Virusscannern keine Meldung ausgegeben...

Auch mein Avira, Norton 360 und malwarebytes melden, daß alles ok ist.
Lediglich Norton 360 insight hat beim prozess gemeldet, daß die aktive Datei adobe.exe*32 bösartig sein kann. (siehe screenshot)
Warum wird es nicht bei einem kompletten Scan angezeigt, auch nicht per Avira Boot CD ?
Hat jemand mit dem Trojaner erfahrungen? Ich möchte gerne, daß alle Daten, Datenbanken und Kopien die er sonst noch irgendwo abgelegt hat gelöscht werden.
Kann ich avira den Trojaner zusenden, damit es nicht noch andere user trifft?

http://imageshack.us/photo/my-images/840/norton360.jpg

Uploaded with ImageShack.us


http://imageshack.us/photo/my-images/163/prozess.jpg/

Uploaded with ImageShack.us

Quoted from "mr999"

Warum wird es nicht bei einem kompletten Scan angezeigt, auch nicht per Avira Boot CD ?

Wenn der Schädling (aktuell) nicht in der Signatur ist kann er auch nicht erkannt werden. Antivirenprogramme leben nunmal zum Großteil von den Virensignaturen.

Quoted from "mr999"

Kann ich avira den Trojaner zusenden, damit es nicht noch andere user trifft?

Ja, dass wäre eine gute Maßnahme. Bitte die Datei über das Webformular an Aviras Virenlabor schicken, als "Verdächtige Datei".

Du bekommst dann zwei E-Mails. Die zweite beinhaltet das endgültige Ergebnis. Dieses dann bitte posten.

Ich würde dir im Anbetracht der Situation zum Neu Aufsetzen des Systems raten. So wie du die Symptome schilderst ist es (das System) kompromiert und somit nicht mehr vertrauenswürdig.

Ok ich habe es nun hochgeladen, auch an Kaspersky

Das absurde ist ja, das die Norton Firewall auf automatische Programmsteuerung eingestellt war, und die adobe.exe auch noch freigegeben hat..das ist so schlecht...
Des Weiteren sollten alle schon minimal verdächtige, völlig unbekannten Dateien doch automatisch blockiert werden.
Ich vermute, daß die sqlite database mit allen accounts und Passwörtern bereits hochgeladen wurde zum ftp des hobby hackers. Dann muß ich wohl Windows komplett neu installieren und sämtliche Passwörter erneut ändern.

Auch hat die Antikeylogger Funktion von Norton 360 völlig versagt. Ich meine, das kann doch nicht so schwer sein, als Antivirenhersteller, das System auf Tastaturaufzeichnungen zu überwachen. Vor allem ist es eine einfache Textdatei gewesen, wo alle Tastaturanschläge gespeichert wurden. Und danach in der sqlite datenbank gespeichert wurden zum zurückversenden.
Wird der Inhalt von Textdateien denn nicht gescannt von einem Antivirenprogramm?
Laut Inhalt der Textdatei war eindeutig zu erkennen das es alles willkürliche Tastatureingaben in Form von : umschalt+strg, google suche nach xyz, 1234, wwwwwwwwwwaaaaaaaaasssssssssddddddd (Spielsteuerung von world of warcraft) usw. waren.
Meiner Meinung nach fehlt es den Antivirenprogrammen an einer intelligenten Suche nach solchen Aufzeichnungen. Und vor allem soll gesucht werden, nach Dateiendungen wie z.B. .*sqlite (auf einem normalen System sind die nämlich nicht drauf) Eventuell bei Programmierern, oder eben Hobby Hackern.

War dein Adobe nicht mehr aktuell ??

Ich gehe mal davon aus , das die EXE Datei aus einem ganz normaler Prozess her beruht und es wird hier ehr an was anderem liegen.

Da Adobe neuerdings auch automatisch die Updates verteilt und dort auch Einträge hinterlässt .

Quoted from "skar29"

War dein Adobe nicht mehr aktuell ??

Ich gehe mal davon aus , das die EXE Datei aus einem ganz normaler Prozess her beruht und es wird hier ehr an was anderem liegen.

Da Adobe neuerdings auch automatisch die Updates verteilt und dort auch Einträge hinterlässt .

Nein, es liegt an dieser adobe.exe. Das ist kein "normaler Prozess" sondern ein Schädling.

Ok ich werde das hier mal weiter verfolgen,weil es wundert mich doch schon sehr, nur Norton erkennt es angeblich ,aber Virus Total mit über 40 Scannern nicht?

Ich halte es für ein FP ,sorry aber sowas kann nicht sein ,den Virustotal kann sich hier nicht so täuschen.

Quoted

Ich habe die adobe.exe 175kb, auch bei Virustotal hochgeladen, jedoch wird von allen 42 Virusscannern keine Meldung ausgegeben...

Quoted from "mr999"

Und vor allem soll gesucht werden, nach Dateiendungen wie z.B. .*sqlite (auf einem normalen System sind die nämlich nicht drauf) Eventuell bei Programmierern, oder eben Hobby Hackern.

Einspruch euer Ehren! Sqlite wird von vielen und immer mehr Programmen als Datenspeicher genutzt. Beispielsweise liegen im Profilordner vom Mozilla Firefox ein paar Sqlite-Dateien. Und nebenbei, Dateinamen sind auch nur Schall und Rauch, ich könnte jederzeit eine Sqlite-Datenbank anlegen die irgendwas.jpg heißt. Klar würde beim Doppelklick die Bildanzeige starten und nichts sinnvolles anzeigen können aber für ein Programm das es weiß könnte diese Datenbank ganz normal benutzt werden.

Quoted from "skar29"

Ok ich werde das hier mal weiter verfolgen,weil es wundert mich doch schon sehr, nur Norton erkennt es angeblich ,aber Virus Total mit über 40 Scannern nicht?

Ich halte es für ein FP ,sorry aber sowas kann nicht sein ,den Virustotal kann sich hier nicht so täuschen.

Quoted

Ich habe die adobe.exe 175kb, auch bei Virustotal hochgeladen, jedoch wird von allen 42 Virusscannern keine Meldung ausgegeben...

Das ist kein Fakeposting! Ich war ja selbst so erstaunt, daß Virustotal
nix gefunden hat. Naja der Fall ist noch bei avira und Kaspersky in
Bearbeitung. Ich habe noch keine Rückmeldung erhalten.

Norton hat es nicht direkt erkannt, erst als ich dieses Norton Insight ausgeführt habe, bin ich darauf aufmerksam gemacht worden, daß eventuell, wenn schlechtes Wetter ist, die adobe.exe bösartig sein könnte...siehe screenshot....
Wobei es gar keine adobe.exe auf einem normalen System geben sollte...wenn dann heißen die anders.

Quoted from "Harald.L"

Quoted from "mr999"

Und vor allem soll gesucht werden, nach Dateiendungen wie z.B. .*sqlite (auf einem normalen System sind die nämlich nicht drauf) Eventuell bei Programmierern, oder eben Hobby Hackern.

Einspruch euer Ehren! Sqlite wird von vielen und immer mehr Programmen als Datenspeicher genutzt. Beispielsweise liegen im Profilordner vom Mozilla Firefox ein paar Sqlite-Dateien. Und nebenbei, Dateinamen sind auch nur Schall und Rauch, ich könnte jederzeit eine Sqlite-Datenbank anlegen die irgendwas.jpg heißt. Klar würde beim Doppelklick die Bildanzeige starten und nichts sinnvolles anzeigen können aber für ein Programm das es weiß könnte diese Datenbank ganz normal benutzt werden.

Jo, das stimmt schon, dennoch habe ich mein Vertrauen in Antivirenprogramme vollkommen verloren.

Quoted from "mr999"

Jo, das stimmt schon, dennoch habe ich mein Vertrauen in Antivirenprogramme vollkommen verloren.

Das ist auch gar nicht verkehrt denn die Kunden die in blindem Vertrauen darauf daß sie ja einen Virenscanner haben und deshalb unbedarft auf alles klicken was nicht bei drei auf dem Baum ist, deren PCs hab ich am öftesten hier zum Bereinigen oder neu aufsetzen. Ein Virenscanner läuft in der Erkennung der Realität immer hinterher, das ist ein Hase-und-Igel-Spiel. Ein Virenscanner erzeugt nur einen gewissen Prozentsatz an Schutz, es gibt keinen der tatsächlich 100% schützen kann. Viel wichtiger ist ein Sicherheitskonzept mit entsprechenden Rechte-Einschränkungen und zeitnaher Aktualisierung nicht nur von Windows sondern von den häufigen Einfallstoren Adobe (Flash, Reader), Java, Quicktime usw. sofern installiert. Und nicht zuletzt der Einsatz von Brain.exe

Ein neuer Schädling den noch kein Antiviren-Hersteller in Händen hatte kann sich erst mal "austoben" bis er langsam erkannt wird. Zum Glück für uns in Europa treten nicht selten die ersten Fälle in USA oder Asien auf und das Zeugs wird dann bei uns bereits erkannt wenn die Welle zu uns schwappt. Einem Einzelnen der früher betroffen ist hilft das allerdings dann auch nichts.

Ein Nachtrag, gerade finde ich diesen Beitrag bei Heise wo es darum geht daß jemand
- Webseiten zu Computerspielen infiziert hat (WoW wurde erwähnt, also könnte Interesse bestehen solche Seiten zu besuchen)
- Zeitraum 7. - 15. April könnte auch passen
- Zitat "Malware verteilt, die möglicherweise nicht von aktuellen Virenscannern erkannt wurde" passt auch

Auch wenn dort nichts genaueres steht wie der Schädling heißt usw. mußte ich beim Lesen des Artikels gleich an diesen Fall hier denken.

Quoted from "Harald.L"

Ein Nachtrag, gerade finde ich diesen Beitrag bei Heise wo es darum geht daß jemand
- Webseiten zu Computerspielen infiziert hat (WoW wurde erwähnt, also könnte Interesse bestehen solche Seiten zu besuchen)
- Zeitraum 7. - 15. April könnte auch passen
- Zitat "Malware verteilt, die möglicherweise nicht von aktuellen Virenscannern erkannt wurde" passt auch

Auch wenn dort nichts genaueres steht wie der Schädling heißt usw. mußte ich beim Lesen des Artikels gleich an diesen Fall hier denken.

Ne, das war schon früher gewesen bei mir. Laut Erstellungsdatum der log.txt (da wo alle Tastaturanschläge gespeichert wurden) war das schon im März.

Ich hatte diesen keylogger "adobe.exe" schon seit dem 18.3.2012 drauf und kein Antivirenprogramm hat es erkannt. Die Datei ist immer noch bei Antivir in der Analyse, von Kaspersky habe ich auch noch keine Antwort erhalten.

Ich vermute ich war Betatester für einen Hobbyhacker. Schaden hat er ja keinen angerichtet, außer Zugriff zu meinen Daten gehabt. Er schrieb auch im Jugendlichen Stil mit meiner Cousine auf Facebook.
Er mailte mir von dem kompromittierten E-Mail Account zum anderen auf russisch:

"Facebook etc.

RU

Эй,

Вы хотите, чтобы ваш счет обратно?

Или заказать что-то
из Amazon?Вы, вероятно, будет в шоке.

Мы хотим, чтобы понять их, чтобы помочь.

их счетахможетеиметьих обратно
0X0238098u23" <<<<<<<<<<<<<<<<<<<<<<<<<<<< Was ist das für eine Zahl?


In Deutsch, laut Translator:
Hey,
Wollen Sie Ihr Konto zurück?
Oder, um etwas von Amazon zu bestellen?

Sie werden wahrscheinlich einen Schock erleiden.
Wir wollen sie verstehen, um zu helfen.
ihren Konten haben können sie wieder


Des Weiteren hinterlies er bei Amazon eine Nachricht im Kalendar über die Termin-Erinnerungs Funktion:

"accounts gehackt – in 3 Tagen fällig
ich werd mal nichts
bestellen, auch wenn ichs könnte. Kleiner Tipp: bei Hackangriffen bringt dir
Antivirensoftware gar nichts!!! Wichtiger ist Wlan verschlüsseln mit einem min.
30 Zeichen langem Passwort (AES 256 bit). Und stehts Https verwenden. Naja werd
dich mal in Zukunft in ruhe lassen. Aber wirklich sicher ist mann NIE!!!"

Dabei nutze ich gar kein W-LAN.....Er wollte mich damit wohl auf eine falsche Spur führen.

Das klingt ja eh nach kiddis, wie nach einem Hacker,den kein Hacker würde dir jemals antworten und seine Tarnung preisgeben wollen.

Himmelhilf ,wer befreit einem vor diesem Unheil ,etwa doch Linux ??

Ist ja sehr nett wenn der "Hacker ",ich nenne es mal Anfänger ,dir mitteilt, das dir eine AV Software nichts bringt ,aber da würde ich mir ehr an deiner Stelle mal Sorgen machen ,wegen deinem Surfverhalten !!

Quoted from "skar29"

Himmelhilf ,wer befreit einem vor diesem Unheil ,etwa doch Linux ??

Wir können uns nur selbst befreien skar , von facebook von windows von allem was und gängelt und uns am denken hindert
der weg ist immer der unbequeme auch das ist klar ...

mehr verrat ich heute nich,,,,,,

Rajo

och Rajo nun sei mal bitte nicht so und lasse uns nicht dumm sterben hier

Ich schrieb bereits in einigen Beiträgen dass Linux (bei mir Kubuntu 11.10) ein gutes und IMHO auch wichtiges Zweitbetriebssystem in einer Dual-Boot-Umgebung ist: Jeglicher Internetkontakt sollte darüber laufen, und Windows nur für nicht von Linux unterstützte Dinge wie Fernsehkarten, und natürlich Windowsspiele genutzt werden. Derzeit seit sechs Tagen ohne Windows unterwegs.

Alfa du wirst doch nicht etwa Windows untreu werden oder

Ne mal erlich ,ich halte sehr viel von Linux ,allerdings ich warte momentan noch auf das 12.04

Quoted from "mr999"

Das absurde ist ja, das die Norton Firewall auf automatische Programmsteuerung eingestellt war, und die adobe.exe auch noch freigegeben hat..das ist so schlecht...

Die Avira-Firewall fragt bei unbekannten Programmen grundsätzlich nach. Gibt es schon eine Nachricht aus dem VLab? Gibt es mittlerweile Erkennungen bei virustotal.com? Bitte die Ergebnisse posten. Welche Avira-Version ist installiert (Free mit oder ohne Browser-Schutz)?

@luk soweit ich das verstanden habe,hat er Norten installiert kein Avira ,Avira hat er nur mit Hilfe von der Rescue CD gescannt .


TE schrieb dazu folgendes :

Quoted

Warum wird es nicht bei einem kompletten Scan angezeigt, auch nicht per Avira Boot CD ?

Es sei denn, er hat hier zwei AV Programme gleichzeitig laufen ,aber das Bild zeigt ja Norton ,mit dieser Adobe Datei.

Quoted from "skar29"

@luk soweit ich das verstanden habe,hat er Norten installiert kein Avira ,Avira hat er nur mit Hilfe von der Rescue CD gescannt .


TE schrieb dazu folgendes :

Quoted

Warum wird es nicht bei einem kompletten Scan angezeigt, auch nicht per Avira Boot CD ?

Es sei denn, er hat hier zwei AV Programme gleichzeitig laufen ,aber das Bild zeigt ja Norton ,mit dieser Adobe Datei.

Nein, ich habe seit Jahren Antivir Personal installiert. Als die Hackerattacke war, hatte ich mit der Avira Boot CD alles gescannt, danach Antivir deinstalliert und Kaspersky installiert und gescannt. Wieder nichts gefunden, Danach Kaspersky deinstalliert und dann erst Norton.

Naja ich bleibe aber dabei ,versuche mal dein Surfverhalten irgendwie zu ändern ,nur so wirst du auch Ruhe haben davor.

Am besten zum surfen auf Linux setzen und das spielen auf Windows beschränken