Ich benutze anstelle vom Standard Taskmanager den Process Explorer, welcher Massen mehr an Informationen bereit hält als das Windows-interne Programm.

Heute habe ich mal wieder nur so etwas auf meinem Server rum geschaut und da fiel mir eine Datei Namens: inetcgr.exe auf, welche durch die cmd.exe gestartet wurde. Daraufhin habe ich stundenlang erfolglos nach näheren Infos zu der Datei gesucht. Weder Publisher, Webseite, Version noch sonstwas war ausfindig zu machen. Selbst bei den gebräuchlichsten Suchmaschinen wie Google, Wikipedia und Windows-Live war nicht das geringste zu finden.
Ich selbst sowie Bekannte haben die Datei auch nicht auf den eigenen Rechnern.


Hat jemand eine Idee, was es mit dieser Datei auf sich hat?
(vielleicht noch nebenbei: Auf den Server läuft Win2003-Server)
Standort der Datei ist: C:\WINDOWS\system32\
--------------------------------------------------------
EDIT:
vielleicht sotte ich noch erwähnen, dass ich bisher noch keine Probleme durch die geladene Datei hatte.

Hallo

lass die Datei doch mal Online checken, hier Virustotal, hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 36 AntiVirus Engine, Last Update(071109)
oder hier Jotti kannst du sie Überprüfen lassen (kann einige Minuten dauern), poste dann doch mal die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

Bei Virustotal waren fast alle Ergebnisse ohne Befund.
Außer Prevx1 er meint Suspicious Self Modifying File (Sprich: Der Prozess ist polymorph und kann seine Struktur ändern)

File size: 53248 bytes
MD5: e48abbabfaa273be547d5323e8b3876e
SHA1: f1aa853a209c02ecc0e9617fa85a86cee53a84ac
- - - - - - - - - - - - - - - - - - - - - - - -

VirSCAN hat ebenfalls keinen Fund ergeben.

Dateiname: inetcgr.exe
Größe: 53248 byte
Typ: MS-DOS executable (EXE), OS/2 or MS Windows
MD5: e48abbabfaa273be547d5323e8b3876e
SHA1: f1aa853a209c02ecc0e9617fa85a86cee53a84ac
- - - - - - - - - - - - - - - - - - - - - - - -

...und Jotti war schlicht und einfach überlastet. Ich hatte keine Möglichkeit die Datei dort hochzuladen.

Hallo

lässt sich die Datei umbenennen (z.B. nach *.vir) oder verschieben?
Und wenn ja funktionieren noch alle Anwendungen einwandfrei?

Schicke die Datei doch mal an einige Hersteller von Ativirensoftware,
die Adressen findest du hier und auch wie die Dateien verschickt werden sollten
http://www.trojaner-board.de/19273-v...einsenden.html

MFG

Alles schon so weit geschehen.
- verschoben nach F:\
- umbenannt in inetcgr.exe.VIR
- gesendet an Avira

Beenden, verschieben und umbenennen ging jedoch nur als Admin, aber das ist ja bei vielen Dateien so.
Bisher sind keine Probleme bei irgendwelchen Anwendungen aufgetreten.

***************
Nach Sichtung der E-Mail-Liste habe ich die Datei noch mal an alle Adressen geschickt.

Bisher hatte ich größtenteils negative Funde zurück bekommen.
FORTINET jedoch hatte einen Trojaner mit Hintertür-Funktion gefunden.

Zitat:

We have analyzed the sample you provided and developed the pattern to catch it. We will add detection for this sample in the next regular update.
The samples you submitted will be detected as follows: "inetcgr.exe.VIR" - "W32/Agent.EQA!tr.bdr"

FYI, the executable needs a password in order to work correctly. The sample is a backdoor.

Regards,
AV Lab - Alex

Also hat sich doch meine erste Vermutung bestätigt!
Wozu doch ein gesundes Maß an Mistrauen so gut sein kann...

Sollte ich noch was Neues erfahren, werde ich es umgehend hier posten.

Hallo

das scheint ja ein komplett neuer Schädling zu sein

Zitat:

The sample is a backdoor.

Das ist schlecht

Zitat:

Sollte ich noch was Neues erfahren, werde ich es umgehend hier posten.

Sehr schön, Danke

MFG

Von etwa 3-4 Antivirern habe ich eine befriedigende Antwort bekommen, der ganze Rest war Asche...
Ich hätte nicht gedacht, dass SOOO wenig Notiz davon genommen würde.

Aber was Gutes hat die Sache nun doch noch. Wenn man jetzt unten auf die Links klickt, bekommt man wenigstens ein paar Treffer und Andere werden dadurch gewarnt.

Zitat:

Zitat von by my self ;)

FAZIT:
Abschließend würde ich sagen, dass man beim Auffinden einer solchen Datei, diese einfach löschen bzw. sie in den "Quarantäne-Ordner" seines Antivirus schieben kann. In meinem Fall lag die Datei inetcgr.exe, wie schon erwähnt, im Ordner System32 unter WINDOWS.

Zu guter letzt möchte ich mich noch bei nochdigger für seine Hilfe bedanken!!!

Habe gerade eben eine weitere Datei entdeckt!!! msdtc32.exe
Scheinbar (dem Inhalt zu Folge vermute ich mal) exakt die gleiche Datei, nur mit einem anderen Namen.

Jetzt kenne ich ja schon die Prozedur und werde später Ergebnisse sowie Screenshots posten.

virustotal hat schon mal Folgendes gefunden.



später mehr

Hallo

ich würde nicht mehr viel rumtrainieren mit dem System, die Auswertung von Fortinet würde ich schon als Grund für ein Neuaufsetzen des System gelten lassen.
Außerdem scheint er ziemlich "wandelbar"

Zitat:

Prevx1 V2 2008.01.28 Heuristic: Suspicious Self Modifying File

Ich würde dieser Anleitung folgen
Neuaufsetzen des Systems und anschliessende Absicherung!

MFG

(sorry dass ich mich erst jetzt noch mal zu Wort melde)

"Neuaufsetzen" war nicht unbedingt nötig.
Eine gute Sicherheitskopie soll Wunder wirken
Dank Acronis® True Image war das System innerhalb von ca. 20 Minuten wieder TipTop

Code: Alles auswählenAufklappen

ATTFilter

- ACRONIS-Boot-CD einlegen
- Rechner booten
- Acronis auf "wiederherstellen" setzen
- gespeichertes Backup-Image auswählen -> GO...
- etwa 20 Min. warten
- FERTIG