Hi,

AntiVir hat bei mir eine Datei gefunden, die wohl illegal ist. Sie war in einem großen Ordner, den ich nicht so ganz überschaue, da mir ein Bekannter immer alle möglichen Tools da rein kopiert. Ich habe sie zwar gelöscht, wüsste allerdings gerne, ob sie bereits Schaden anrichten konnte.
Die OnlineScans melden fast alle keine Schadsoftware in der betreffenden Datei. Allerdings findet AntiVir einen BDS/Tagent.E und Symantec ein Hackertool in der Datei.
Ich habe sie für das angehängte Log auch noch mal gestartet. Es handelt sich um die Datei "4in1.exe". Ich schätze, dies ist ein KeyGen.

Handelt es sich "nur" um illegale Software oder auch um Software, die irgendeinen Schaden anrichten kann?

Über eine Antwort zur Beruhigung würde ich mich sehr freuen.

Viele Grüße

Section31



Logfile of HijackThis v1.99.1
Scan saved at 12:23:13, on 13.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\atiptaxx.exe
C:\Programme\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Tools\4in1.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.sf-radio.net/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\DAP\dapbho.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: adobe reader - schnellstart.lnk = C:\Programme\Adobe Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Download with &DAP - C:\Programme\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Programme\DAP\dapextie2.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - h**ps://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120299930585
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129469491437
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - h**ps://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3CF13C6A-B208-462B-9487-11E7C24BFE5F}: NameServer = 62.104.191.241 62.104.196.134
O17 - HKLM\System\CS1\Services\Tcpip\..\{3CF13C6A-B208-462B-9487-11E7C24BFE5F}: NameServer = 62.104.191.241 62.104.196.134
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

also wenn das die 4in1.exe is die sonst geläufig ist, dann sind darin chipsatztreiber für dein mainboard...

Nene, ich habe die Datei ja gestartet. Es handelt sich wohl um einen KeyGen. Aber kann so einer auch Schaden anrichten?

Gruß

Section31

Zitat:

Zitat von Section31

Aber kann so einer auch Schaden anrichten?

Ja. Grob fahrlässiger Weise hast Du Dir einen Backdoor Trojaner ins Heim geholt.
http://oschad.de/wiki/index.php/Kompromittierung

Hallo,
ich bin mir noch nicht so sicher ob das System kompromittiert ist, kannst du mal die betreffende Datei hier überprüfen und das Ergebnis posten?
Den im Prinzip ist ein Keygen ein Hacktool, hat aber noch nichts mit einem Backdoor zu tun.
Das man trotzdem die Finger davon lassen sollte ist klar, da sie aus unseriösen Quellen stammen und allesmögliche enthalten kann.


Grüße Wildone

Zitat:

Zitat von Wildone

Hallo,
ich bin mir noch nicht so sicher ob das System kompromittiert ist, kannst du mal die betreffende Datei hier überprüfen und das Ergebnis posten?

Das kann man natürlich erst nach einer Analyse sagen. Aber bei Leuten die hast-Du-nicht-gesehen Cracks einsetzen, vergeht mir so langsam die Lust.

Zitat:

Den im Prinzip ist ein Keygen ein Hacktool, hat aber noch nichts mit einem Backdoor zu tun.
Das man trotzdem die Finger davon lassen sollte ist klar, da sie aus unseriösen Quellen stammen und allesmögliche enthalten kann.

BDS/Tagent.E ... BDS = Backdoorserver

Kann natürlich auch was anderes sein, aber das würde mich wundern.

Hallo,
habe gerade ein wenig gegooglt, könnte auch sein das es sich um einen normalen Chipsatztreiber handelt. Und AntiVir mißtraue ich aus Prinzip.
Aber erst nach der Analyse kann man mehr sagen. Das ich es auch langsam satt habe hier fast nur noch Leute zu behandeln die denken Cracks und Keygens sind eine feine Sache und sich keine Gedanken über die Quellen machen, muss ich wohl nicht weiter erwähnen. Aber da bin ich mitr beim TE noch nicht 100% sicher, also im Zweifel für den Angeklagten.


Grüße Wildone

Zitat:

Zitat von Wildone

Das ich es auch langsam satt habe hier fast nur noch Leute zu behandeln die denken Cracks und Keygens sind eine feine Sache und sich keine Gedanken über die Quellen machen, muss ich wohl nicht weiter erwähnen. Aber da bin ich mitr beim TE noch nicht 100% sicher, also im Zweifel für den Angeklagten.

1. Ist es nicht nur AntiVir, sondern auch Symantec. Und das Symantec sich die Mühe macht, Cracks (!= Hacks) zu detektieren glaube ich persönlich nicht.

2.

Zitat:

Zitat von Section31

Nene, ich habe die Datei ja gestartet. Es handelt sich wohl um einen KeyGen. Aber kann so einer auch Schaden anrichten?

Also zwischen nem Treiberinstallationsdialog und nem Keygen besteht imho doch ein recht auffälliger Unterschied.

BTW ALI hatte auch diese 4in1-Treiber. Naja wir werden es ja sehen...

Hallo,

Zitat:

Also zwischen nem Treiberinstallationsdialog und nem Keygen besteht imho doch ein recht auffälliger Unterschied.

Okay da ist was dran.

Zitat:

1. Ist es nicht nur AntiVir, sondern auch Symantec. Und das Symantec sich die Mühe macht, Cracks (!= Hacks) zu detektieren glaube ich persönlich nicht.

Das mit Hacktools ist so eine Sache, teilweise werden auch legale Passwortrecoveryprogramme als Hacktools bezeichnet. Oder auch scripte die Dienstkonfigurationen ändern, also bin ich da noch sehr vorsichtig. Und die Onlinescans haben ja nichts gefunden, und da war immerhin auch Bitdefender dabei.


Grüße Widlone

Nun ja, Antivir selbst kennt den BDS\Tagent nicht....bin ja mal gespannt.

Zitat:

Zitat von Wildone

Das mit Hacktools ist so eine Sache, teilweise werden auch legale Passwortrecoveryprogramme als Hacktools bezeichnet. Oder auch scripte die Dienstkonfigurationen ändern, also bin ich da noch sehr vorsichtig.

Ja, absolut richtig. Und insbesondere da meldet sich Norton-AV mit lautem "hier ich hab was".
Und Avira/H+BEDV sind bekannt für alle mögliche False-Postives.

Hi,

um die Diskussion weiter zu beleben habe ich jetzt mal VirusTotal verwendet:

Antivirus Version Update Result:

AntiVir 6.33.0.81 02.14.2006 BDS/Tagent.E
Avast 4.6.695.0 02.13.2006 no virus found
AVG 718 02.13.2006 no virus found
Avira 6.33.0.81 02.14.2006 BDS/Tagent.E
BitDefender 7.2 02.14.2006 no virus found
CAT-QuickHeal 8.00 02.13.2006 no virus found
ClamAV devel-20060126 02.14.2006 no virus found
DrWeb 4.33 02.14.2006 no virus found
eTrust-InoculateIT 23.71.75 02.14.2006 no virus found
eTrust-Vet 12.4.2079 02.14.2006 no virus found
Ewido 3.5 02.14.2006 no virus found
Fortinet 2.69.0.0 02.14.2006 HackerTool/VB.AF
F-Prot 3.16c 02.13.2006 no virus found
Ikarus 0.2.59.0 02.14.2006 no virus found
Kaspersky 4.0.2.24 02.14.2006 no virus found
McAfee 4696 02.14.2006 no virus found
NOD32v2 1.1407 02.13.2006 no virus found
Norman 5.70.10 02.14.2006 no virus found
Panda 9.0.0.4 02.14.2006 no virus found
Sophos 4.02.0 02.14.2006 no virus found
Symantec 8.0 02.14.2006 Hacktool
TheHacker 5.9.4.096 02.14.2006 no virus found
UNA 1.83 02.13.2006 no virus found
VBA32 3.10.5 02.14.2006 no virus found


Ich muss noch dazu sagen, dass ich den KeyGen nicht bewusst auf meinem System habe. Ein Bekannter gibt mir halt manchmal CDs mit allem möglichen Kram. Normalerweise WinZip, DivX, Winamp usw. Alle möglichen Tools, die man halt gebrauchen kann. Scheinbar war da auch mal ein KeyGen dabei.

Interessanterweise ist die Datei schon seit über 1,5 Jahren auf meinem PC, ohne dass seit dem Probleme aufgetreten wären, oder ein Virenscanner darauf angesprungen wäre.

Danke nochmal für die Unterstützung.

Und meint Ihr nun es ist ein Fehlalarm oder nicht?

Gruß

Section31

Hallo,
denke das es ein Fehlalarm ist. Hast du das Tool absichtrlich während dem erstellen des HijackThis Log laufen lassen?


Grüße Wildone

Hmmm was für eine Engine nutzt den Fortinet?

Ja, ich habe es absichtlich laufen lassen, damit es im HijackThis Log erscheint. Sonst scheint aber nix verdächtiges mitzulaufen, oder?
Kann es also tatsächlich sein, dass AntiVir, Avira, Fortinet und Symantec jeweils einen Fehlalarm auslösen? Oder melden, die sich auch bei illegaler Software?
Wieso gehst Du von einem Fehlalarm aus? Kann man davon ausgehen, weil die meisten Scanner keinen Fund melden? Oder kann ich sonst noch etwas tun, um sicher zu gehen, dass nix kompromittiert wurde?

Danke nochmal

Gruß

Section31