| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Batch to Exe zaubert Trojaner?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
28.10.2008, 14:30
| #1 |
 |  Batch to Exe zaubert Trojaner? Hallo Community, ich benutze das Programm "TrueCrypt" auf meinem USB Stick. Zudem ist "TrueCrypt" auf diesem Stick in "Portable Apps" eingebunden. Um nun meinen Datencontainer im 1- klick Verfahren mounten bzw. dismounten zu können, habe ich mir zwei bat Dateien erstellt. Um diese bat Datei auch in Portable Apps anzeigen zu können, habe ich sie mit dem Programm "Batch2Exe" konvertiert. Das Ergebniss: Stick rein- "Portable Apps" (Menü) öffnet sich- "TrueCrypt" lässt sich separat auswählen (TC Format/ TC Hauptprogramm) bzw. Container lässt direkt ansprechen (Mount/ Dismount). Das Promlem: Windows Defender (Vista Ultimate 64 bit) erkennt Win32/ Agent, sowohl bei der Mount, als auch bei der Dismount.exe. Trojan Guard, Ad Aware, Spybot Search& Destroy erkennen nichts. Aber bei VirusTotal.com da wird eine ganze Menge erkannt... Ich hab hier mal den Log drangehängt AhnLab-V3 2008.10.27.3 2008.10.28 - AntiVir 7.9.0.9 2008.10.28 - Authentium 5.1.0.4 2008.10.27 W32/Backdoor.AFNU Avast 4.8.1248.0 2008.10.28 Win32:Agent-AAJA AVG 8.0.0.161 2008.10.28 Generic10.BEEV BitDefender 7.2 2008.10.28 Trojan.Dropper.SGR CAT-QuickHeal 9.50 2008.10.28 - ClamAV 0.93.1 2008.10.28 - DrWeb 4.44.0.09170 2008.10.28 - eSafe 7.0.17.0 2008.10.27 Suspicious File eTrust-Vet 31.6.6177 2008.10.28 - Ewido 4.0 2008.10.28 Trojan.KillWin.cz F-Prot 4.4.4.56 2008.10.27 W32/Backdoor.AFNU F-Secure 8.0.14332.0 2008.10.28 - Fortinet 3.117.0.0 2008.10.28 - GData 19 2008.10.28 Trojan.Dropper.SGR Ikarus T3.1.1.44.0 2008.10.28 Backdoor.Win32.Ciadoor.123 K7AntiVirus 7.10.510 2008.10.28 Trojan.Win32.Malware.New Kaspersky 7.0.0.125 2008.10.28 - McAfee 5416 2008.10.28 - Microsoft 1.4005 2008.10.28 Trojan:Win32/Agent NOD32 3562 2008.10.28 - Norman 5.80.02 2008.10.27 - Panda 9.0.0.4 2008.10.28 - PCTools 4.4.2.0 2008.10.28 - Prevx1 V2 2008.10.28 Cloaked Malware Rising 21.01.12.00 2008.10.28 - SecureWeb 6.7.6 2008.10.28 - Sophos 4.35.0 2008.10.28 - Sunbelt 3.1.1760.1 2008.10.27 - Symantec 10 2008.10.28 - TheHacker 6.3.1.1.132 2008.10.28 - TrendMicro 8.700.0.1004 2008.10.28 PAK_Generic.001 VBA32 3.12.8.8 2008.10.27 suspected of Embedded.Trojan.BAT.Agent.j ViRobot 2008.10.28.1441 2008.10.28 - VirusBuster 4.5.11.0 2008.10.27 - weitere Informationen File size: 35155 bytes MD5...: 8d9cd3d872ab3d02cb957196ddcf6aec SHA1..: 86c362a8ddc46890cf9772bbd6417727d6c9cb14 SHA256: cee4e8359e4fb7ca5f4a9b8cc87a6fb344c624e216b2b7b25979f5b9f36b0615 SHA512: 00390f928bdb34e8d107043096229235d18c6cb4afe10f76090d705cf1ada489 396fccb59b11664b1f433e5ca2255c892186d19b2030a2b0707747c93346a8f0 PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser TrID..: File type identification UPX compressed Win32 Executable (39.5%) Win32 EXE Yoda's Crypter (34.3%) Win32 Executable Generic (11.0%) Win32 Dynamic Link Library (generic) (9.8%) Generic Win/DOS Executable (2.5%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x414f30 timedatestamp.....: 0x4904c927 (Sun Oct 26 19:46:47 2008) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 UPX0 0x1000 0x11000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e UPX1 0x12000 0x4000 0x3200 7.82 78eca6750f21705f892d638cb062962d .rsrc 0x16000 0x4000 0x3800 6.38 aa7b895fdf9a2906e4fdc00f72cf55ea ( 2 imports ) > KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, ExitProcess > MSVCRT.DLL: _iob ( 0 exports ) Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=D016FA5D53F9B25F1DAB00260165B6001EF41766 packers (Kaspersky): PE_Patch.UPX, UPX, PE_Patch.UPX, UPX, Batch2Exe packers (Authentium): UPX packers (F-Prot): UPX Das Log ist von der Mount.exe, der Log von der Dismount.exe ist vergleichbar. Ich bin an dem PC mit Admin Rechten. Ich bin der alleinige Nutzer. Die Bat Datei ist von mir umgewandelt worden. Kann mir jemand von Euch helfen, diese unterschiedlichen Ergebnisse zu bewerten? Bis später Al Borland |
|
28.10.2008, 14:34
| #2 |
  | Batch to Exe zaubert Trojaner? Hi,
__________________von welcher Seite hast du die "Mount.exe", die das mehr oder weniger überraschende Ergebnis verursacht? Kannst du sie in ein passwortgeschütztes zip-Archiv packen (PW: infected) und an meine Email-Addresse (Profil) schicken? Danke
__________________ |
|
28.10.2008, 14:45
| #3 |
| | Batch to Exe zaubert Trojaner? Hallo Silent,
__________________brauchst Du nur die mount oder auch die dismount.exe? Willst Du auch die bat Dateien, also die ausgangsprodukte haben? mfg al borland achso, nachtrag: die exe Dateien habe ich mir selber umgewandelt... also die Konvertierung ist auf meinen mist gewachsen. |
|
28.10.2008, 14:47
| #4 |
| | Batch to Exe zaubert Trojaner? Es reicht die Mount.exe, da die Dismount.exe wie du schon sagtest, das gleiche Ergebnis hat, oder? Edit: Dann sind die Mount.exe/Dismount.exe Eigenprodukte? Kannst du mir dann die Seite (bitte entschärfen!) nennen, wo du das Programm dafür heruntergeladen hast?
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. Geändert von Silent sharK (28.10.2008 um 14:52 Uhr) |
|
28.10.2008, 15:32
| #5 |
| | Batch to Exe zaubert Trojaner? ich wieder... wie kann ich hier bei internen mails einen anhang mitschicken? Gepackt ist es, mit winrar. Das mit der Website ist so ein Problem... ich hab den Verlauf gelöscht. Da ich den ganzen Tag auf der suche nach solch einem Programm gewesen bin und mehrere Alternativen getestet habe, kann ich das nicht mehr rekonstruieren. Der Autor von dem Programm steht allerdings in den Programmeigenschaften. Reicht dir das zunächst aus? |
|
28.10.2008, 15:34
| #6 | ||
| | Batch to Exe zaubert Trojaner?Zitat:
Normalerweise steht unten, wenn du eine Email verschickst "Datei(en) anhängen" o.Ä. Zitat:
__________________ --> Batch to Exe zaubert Trojaner? |
|
28.10.2008, 18:29
| #7 |
| | Batch to Exe zaubert Trojaner? Sieht relativ gut aus. Hattest du Probleme mit ZBot bzw. der ntos.exe?
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
|
28.10.2008, 18:40
| #8 |
| | Batch to Exe zaubert Trojaner? Hm, also diese beiden Datei namen sagen mir nicht viel. Das System ist jetzt knappe drei wochen alt. Ich bin manchmal etwas grau im Kopf, aber ich hatte bis dato keinerlei probleme angezeigt. Ich nutze den Router der Fritzbox, den Windows Defender und die Windows Firewall, ich bin mit Firefox im I-net. Natürlich alles mit frischen updates. Mir ist bisher nichts angezeigt worden, ausser diese Win32/ Agent Warnung. Und das ausschliesslich auf dem Stick. |
|
28.10.2008, 18:44
| #9 |
| | Batch to Exe zaubert Trojaner? Ich bezweifle, dass du infiziert worden bist, da du ja ein 64bit System besitzt und die meisten Schädlinge darauf nicht kompatibel sind. Ich denke, du bist mit einem blauen Auge davongekommen. 
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
|
| Themen zu Batch to Exe zaubert Trojaner? |
| .dll, 64 bit, ad aware, agent, anzeige, anzeigen, aware, bat, batch, crypter, dateien, defender, erkennen, exe, guard, helfen, ide, klick, link, log, programm, spybot, trojaner, trojaner?, usb, virus, virustotal.com, vista, windows, windows defender, öffnet |
Hybrid-Darstellung
