Trojan:Win32/Skeeyah.A!MTB

mfgforyou · 19.04.2023, 01:00

Guten Abend
wie kann es sein, dass ich bei einer lizenzierten Version von Bitdefender bei einer Zufallsüberprüfung mit Windows Defender diese Information erhalte:

file: D:\Downloads\SICHERHEIT\Bitdefender\vshield.exe

Bitdefender selbst hat keine Warnung ausgelöst.

Laut meinem Backup mit Acronis habe ich seit 18.04.2023 die Datei vshield.exe
erstmalig gesichert.

Falls Ihr zusätzliche Informationen benötigt, ist es dann so, dass jeder die Informationen mitlesen kann, oder gibt es noch einen vertraulichen Weg.

cosinus · 19.04.2023, 07:59

Schonmal gehört, dass Virenscanner auch Fehlalarme werfen?
Und was hat die Datei damit zu tun, ob Bitdefender lizenziert ist oder nicht? Warum scannst du überhaupt mit dem Windows Defender, wenn du diesem offenbar nicht traust? Du hast ihn ja durch Bitdefender ersetzt, was einfach nur unnötig war.

Zitat:

Falls Ihr zusätzliche Informationen benötigt, ist es dann so, dass jeder die Informationen mitlesen kann, oder gibt es noch einen vertraulichen Weg.

Was soll denn diese Geheimniskrämerei? Alles was relevant ist wird grundsätzlich ins Forum gepostet.

mfgforyou · 19.04.2023, 08:32

Zitat:

Zitat von cosinus

Schonmal gehört, dass Virenscanner auch Fehlalarme werfen?
Und was hat die Datei damit zu tun, ob Bitdefender lizenziert ist oder nicht? Warum scannst du überhaupt mit dem Windows Defender, wenn du diesem offenbar nicht traust? Du hast ihn ja durch Bitdefender ersetzt, was einfach nur unnötig war.

Vielen Dank für die prompte Antwort. Selbst bin ich Laie und daher Empfehlung aus der sogenannten Fachpresse wie auch weiters beispielsweise Stiftung Warentest gefolgt.

Was soll denn diese Geheimniskrämerei? Alles was relevant ist wird grundsätzlich ins Forum gepostet.

Kann jemand diese Informationen nutzen, um mein System gezielt zu infiltrieren?

Um nun Deine Dienste nicht unnötig in Anspruch zu nehmen, gibt es eine Möglichkeit den Fehlalarm zu bestätigen? Und ja, ich weiß es aus meiner früheren Tätigkeit vom IT- Support: Das Problem sitzt meistens vor dem Bildschirm und wo ist das Phrasenschwein?

cosinus · 19.04.2023, 08:47

Zitat:

Zitat von mfgforyou

Kann jemand diese Informationen nutzen, um mein System gezielt zu infiltrieren?

Nein und selbst wenn dem so wäre, kann es keine Hilfe geben ohne Logs.
Logs von FRST helfen uns in diesem Fall aber auch wenig bis garnicht.
Und ich versteh auch nicht warum ihr euch alle so auf den Virenscanner fokussiert. Warum schiebt ihr da alle dermaßen Panik?

Zitat:

Zitat von mfgforyou

gibt es eine Möglichkeit den Fehlalarm zu bestätigen?

Wie viele Bestätigungen brauchst du denn noch? --> "Bitdefender selbst hat keine Warnung ausgelöst."

mfgforyou · 19.04.2023, 10:39

gem. Virus-Total 22 von 100, u.a.

Google
Detected
Ikarus
Trojan-GameThief.Win32.Magania

Malwarebytes
Malware.AI.3303824037
MaxSecure
Trojan.Malware.74685868.susgen

McAfee
Artemis!119F8459658A
McAfee-GW-Edition
Artemis

Microsoft
Trojan:Win32/Skeeyah.A!MTB
Palo Alto Networks
Generic.ml

Da sind doch einige Schwergewichte drin. Was kann ich tun, um Deine Analyse zu ermöglichen, wenn FRST nicht ausreichend ist.

cosinus · 19.04.2023, 10:54

Wenn du mir nicht glaubst, dass das ein Fehlalarm ist, dann ist das halt so. Dann können wir den Thread jetzt auch sofort beenden.

mfgforyou · 19.04.2023, 11:17

Es geht nicht darum zu glauben, sondern meine Unsicherheit zu beseitigen. Es handelt sich um eine Datei (40 KB) ohne Signatur von Bitdefender. Letztendlich habe ich Bankingsoftware auf dem Notebook und weiß nicht, wie ich verhindern kann, dass die Daten abgefangen werden. Da wäre ich für einen Vorschlag von Dir sehr dankbar. Aktuell nutze ich Safepay und den Bankingbrowser von Abelsoft.

Sende die Datei an Bitdefender und Malwarebytes. Ich schlage vor, wir beenden den Thread, wenn ich die ausstehenden Informationen vorliegen und kommuniziert habe.

P.S. Unser Pfarrer hatte zum Thema Glauben eine besondere Einstellung: Glauben heißt nicht wissen. Von daher glaube ich Dir ;-)

cosinus · 19.04.2023, 11:25

Zitat:

Es handelt sich um eine Datei (40 KB) ohne Signatur von Bitdefender

Das weißt du woher bitte?

mfgforyou · 19.04.2023, 11:37

Dateieigenschaften

Dateiversion:
Produktname
Produktversion
Copyright

Ohne Wert und das Piktogramm war nicht von Bitdefender im Vergleich mit den anderen Dateien von Bitdefender.

cosinus · 19.04.2023, 11:45

Das ist bestenfalls eine sehr oberflächliche Prüfung. Wenn du schon Virustotal bemühst, hättest du sinnvollerweise auch gleich die SHA256 Prüfsumme der Datei posten können. Aber so kann sich niemand die Ergebnisse anschauen.

mfgforyou · 19.04.2023, 11:59

Das habe ich noch gefunden:

MD5 119f8459658a5fe9d684187b6bfe502b
SHA-1 cbbde29a480bbd9723fbbacd65ea9b1850e60efa
SHA-256 8d2f5d326cd510f73e62636835c79545b4db11a76576df7ad910c322c0779dc8
Vhash 04403e0f7d5bz6jz1jz
Authentihash c4a80d2f2a315dcbca56125765880824494929051eeb3e8520537675b3702741
Imphash 2232e5de6de130bcdc4b99e975f4fec7
SSDEEP 768:wZAQHc3cC/5BeHg7lQrHL7nbcuyD7Ukb4+BNxKWhNtS/IUTH:k433uHg7urnnouy8kbTYI2H
TLSH T1BC03BE597BE44598C056A23A9AABA315875CCD2D9E42C32323B47E3FFDCCEEA4D001D0
File type Win32 EXE
Magic PE32 executable for MS Windows (console) Intel 80386 32-bit
TrID Win16 NE executable (generic) (32.2%) Win32 Executable (generic) (28.8%) OS/2 Executable (generic) (13%) Generic Win/DOS Executable (12.8%) DOS Executable Generic (12.8%)
DetectItEasy PE32 Packer: UPX (3.03) [LZMA,brute] Compiler: FASM (1.67) [Console32,console]
File size 40.00 KB (40960 bytes)
PEiD packer UPX 2.93 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
F-PROT packer UPX_LZMA, embedded

cosinus · 19.04.2023, 12:15

Ist für mich immer noch ein Fehlalarm. vshield steht im Zusammenhang mit Bitlocker, die Datei wurde erstmalig 2009 schon geprüft und die Scanner die angeblich was finden, werfen nen allgemeinen Wischwasch aus.

Warum du trotz Bitdefender noch mit Windows Defender scannst wurde aber immer noch nicht erklärt. Noch nie gehört, dass man niemals zwei Scanner laufen lassen sollte?

mfgforyou · 19.04.2023, 12:34

Einen Scanner gestoppt und den anderen laufen lassen.

Nach Stiftung Warentest - kann Dir gern die PDF Datei von 03.2023 zu kommen lassen - habe ich einen der Erstplatzierungen und denke, wenn man mit dem Betriebsprogramm Windows fährt, kann man auch deren Virenprogramm ab und zu laufen lassen.

Ich warte nur noch ab, was Bitdefender schreibt?

Chapeau - Ihr habt eine schnelle Reaktionszeit.
Wie kann ich Euch per Paypal etwas zukommen lassen?

Zumindest habe ich externe Versuche unternommen und versucht u.a. Licht in den Tunnel zubringen - ist hoffentlich nicht das Licht eines entgegenkommenden ICE!

Upload PDF auch in ZIP Version leider nicht möglich > 500 KB

Kronos60 · 19.04.2023, 15:14

Wenn du unsicher bist so setze das System neu auf, das ist unter Umständen schneller als die ganze scannerei.

mmk · 19.04.2023, 15:19

Zitat:

Zitat von mfgforyou

habe ich einen der Erstplatzierungen

Du kannst Dein System nicht mit "Erstplatzierungen" für Onlinebanking sicher machen. Das ist eine fatale Fehlannahme.

Thema Virenscanner auf den Punkt, hier:
https://www.trojaner-board.de/199203...verwenden.html

Systemabsicherung:
https://www.trojaner-board.de/96344-...-rechners.html

19.04.2023, 10:54	#6
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojan:Win32/Skeeyah.A!MTB Wenn du mir nicht glaubst, dass das ein Fehlalarm ist, dann ist das halt so. Dann können wir den Thread jetzt auch sofort beenden. __________________ --> Trojan:Win32/Skeeyah.A!MTB

19.04.2023, 11:45	#10
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojan:Win32/Skeeyah.A!MTB Das ist bestenfalls eine sehr oberflächliche Prüfung. Wenn du schon Virustotal bemühst, hättest du sinnvollerweise auch gleich die SHA256 Prüfsumme der Datei posten können. Aber so kann sich niemand die Ergebnisse anschauen. __________________ Logfiles bitte immer in CODE-Tags posten

Trojan:Win32/Skeeyah.A!MTB

Antiviren-, Firewall- und andere Schutzprogramme: Trojan:Win32/Skeeyah.A!MTB