|
Plagegeister aller Art und deren Bekämpfung: Ist diese EXE verseucht?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
19.11.2008, 21:09 | #1 |
| Ist diese EXE verseucht? Nabend, hab von einem 'Freund' ein Programm zugeschickt bekommen und bei Virustotal hochgeladen, mit folgendem Ergebnis: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.11.18.2 2008.11.19 - AntiVir 7.9.0.34 2008.11.19 HEUR/Crypted Authentium 5.1.0.4 2008.11.18 - Avast 4.8.1281.0 2008.11.19 - AVG 8.0.0.199 2008.11.19 Win32/PolyCrypt BitDefender 7.2 2008.11.19 - CAT-QuickHeal 10.00 2008.11.19 - ClamAV 0.94.1 2008.11.19 - DrWeb 4.44.0.09170 2008.11.19 - eSafe 7.0.17.0 2008.11.19 - eTrust-Vet 31.6.6217 2008.11.19 - Ewido 4.0 2008.11.19 - F-Prot 4.4.4.56 2008.11.18 - F-Secure 8.0.14332.0 2008.11.19 - Fortinet 3.117.0.0 2008.11.19 - GData 19 2008.11.19 - Ikarus T3.1.1.45.0 2008.11.19 - K7AntiVirus 7.10.528 2008.11.19 - Kaspersky 7.0.0.125 2008.11.19 - McAfee 5439 2008.11.19 - Microsoft 1.4104 2008.11.19 - NOD32 3625 2008.11.19 - Norman 5.80.02 2008.11.19 - Panda 9.0.0.4 2008.11.19 - PCTools 4.4.2.0 2008.11.19 - Prevx1 V2 2008.11.19 - Rising 21.04.22.00 2008.11.19 - SecureWeb-Gateway 6.7.6 2008.11.19 Heuristic.Crypted Sophos 4.35.0 2008.11.19 Sus/Compack-H Sunbelt 3.1.1801.2 2008.11.14 Virus.Win32.Agent.AJ (vf) Symantec 10 2008.11.19 - TheHacker 6.3.1.1.158 2008.11.19 - TrendMicro 8.700.0.1004 2008.11.19 - VBA32 3.12.8.9 2008.11.19 - ViRobot 2008.11.18.1474 2008.11.18 - VirusBuster 4.5.11.0 2008.11.19 - weitere Informationen File size: 268024 bytes MD5...: 179d5b7bd400440992b77a075c01b482 SHA1..: b9fcf6d241eb1acfd265177829e4390738691eec SHA256: e5cab1174749f4ce6465f9affd34a2edf1d1d04b5ca998e0a094f688cca2a222 SHA512: ef1205c9df344c4db3df60e76656f5a898a1abf545b555d11f46ce40278dccf9 d44fb6a268cf431429afc94e5f8b576da7242aefb2aa9445f9124a046a90089f PEiD..: - TrID..: File type identification Win32 EXE Yoda's Crypter (56.9%) Win32 Executable Generic (18.2%) Win32 Dynamic Link Library (generic) (16.2%) Generic Win/DOS Executable (4.2%) DOS Executable Generic (4.2%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x43a060 timedatestamp.....: 0x48f60368 (Wed Oct 15 14:51:20 2008) machinetype.......: 0x14c (I386) ( 6 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x34000 0x11000 7.99 a088151bc3f8a12ffcfe2047c00ecce3 .rsrc 0x35000 0x2000 0x2000 4.20 70776b219d62f9063ebd6380bc2a540e . 0x37000 0x1000 0x1000 5.96 e9983b60846ca69b17535b6d29bc3719 . 0x38000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .zhywx 0x39000 0xf3a 0x1000 5.44 50b1c8e6aa2745d441f836ae29448c8b .exp 0x3a000 0x2000 0xcf7 5.32 20cc14d6a679feb7c32146874379bbca ( 1 imports ) > Kernel32.dll: LoadLibraryA, GetProcAddress ( 0 exports ) packers (Kaspersky): IDPsw Ist die Exe eindeutig infiziert? |
20.11.2008, 11:06 | #2 |
/// Helfer-Team | Ist diese EXE verseucht? Das Trojaner-Board lebt davon, dass User ein Programm auf ihrem Rechner installieren, nachdem ihr Virenscanner und/oder Virustotal grünes Licht gegeben hat. Trotzdem (?) ist plötzlich ihr Rechner infiziert.
__________________Beantwortet das deine Frage?
__________________ |
20.11.2008, 11:17 | #3 |
| Ist diese EXE verseucht? Für solche netten Dinger habe ich ne virtuelle Maschine in der ich es dann ausführe. Wenn es da alles kaputtknabbert setze ich einfach einen Klon der virtuellen Maschine neu auf und lösche den infizierten :-D
__________________Seit ich trotz paranoid eingestellter firewall trojan.bloodhound in meinem ff- Profil hatte und die Datein die ich installiert hatte nur von sites wie chip.de etc kamen und dann noch formatieren musste weil ich einem firepack auf den Leim gegangen bin surfe ich fast nur noch über meine virtuelle Maschine |
20.11.2008, 11:20 | #4 |
| Ist diese EXE verseucht? Ich surf hauptsächlich mit Linux und Online Banking auch. Zum Spielen ist XP aber grade recht. |
20.11.2008, 11:22 | #5 |
/// Helfer-Team | Ist diese EXE verseucht? Einige dieser "netten Dinger" erkennen es, wenn sie in einer virtuellen Maschine gestartet werden sollen, und verweigern dann den Dienst.
__________________ Alle Tipps und Anleitungen ohne Gewähr |
20.11.2008, 11:26 | #6 |
| Ist diese EXE verseucht? Nur die von codesoft.cc - und wenn ich irgendein nonameprog verwenden will dann nur in meiner virtuellen Maschine. und ich glaub das antivm immo gefixxt wurde- nur antisandboxie gibts ja schon ewig ... Das die Amateur - freeware Kiddie Trojabaukästchen auch ein neues antivm haben glaube ich mal net - aber 100% sicher kann man ja nie sein ... Meine fw von Agnitum hat recht gute Wertungen bzgl antileak und Selbstschutz - auch wenn die Virendefinitionen schlecht sind hat es mich vor so manchem Müll bewahrt. |
20.11.2008, 12:36 | #7 |
Ist diese EXE verseucht? Du schreibst in Rätseln.
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
20.11.2008, 12:48 | #8 |
| Ist diese EXE verseucht? Ich meine die Teile der Trojaner die erkennen ob sich der Trojaner nun in einer virtuellen Umgebung befinden. Vmware hat den Trick den es benutzt beseitigt. Es gibt noch ein kleineres Programm, das eine virtuelle Umgebung erstellt names Sandboxie - da gibt es meines Wissens schon lange einen Trick, der nicht behoben wurde. |
20.11.2008, 15:38 | #9 | |
| Ist diese EXE verseucht?Zitat:
Also nicht installieren, weil wegen Virus? Und ka0t, könntest du mir Näheres zu der virtuellen Maschine und wo ich solch eine 'vermutlich unerkannte von Viren' herbekomme, per pm schicken? |
20.11.2008, 17:33 | #10 | |
/// Helfer-Team | Ist diese EXE verseucht? Genau, nicht installieren wegen hoher Virus-Gefahr. Zitat:
__________________ Alle Tipps und Anleitungen ohne Gewähr |
20.11.2008, 21:22 | #11 | ||
| Ist diese EXE verseucht? Okay, hab auch mal nach den Ergebnissen von Virustotal gegoogelt. Und hast ja Recht, also Danke schonmal :P Solang ich die Exe nicht ausgeführt habe, dürfte nichts passiert sein oder? Sicherheitshalber habe ich mal einen Hijackthislog anfertigen lassen, würde mich freuen, wenn du/jmd anderes mal einen Blick drüber werfen könnte, da mein Browser etwas länger braucht als sonst um normale Seiten zu laden. Zitat:
btw, auch wenns vllt nicht 'verdächtig' ist, was bedeutet dies hier? Zitat:
Geändert von mikaeyy (20.11.2008 um 21:55 Uhr) |
21.11.2008, 15:01 | #12 |
| Ist diese EXE verseucht? Nunja, mein AntiVir hat mir gerade einen Fund 'HEUR/Crypted' gezeigt und die Exe ist, die die ich bei Virustotal hochgeladen habe, habe sie aber nicht ausgeführt gehabt. Und noch eine Meldung.. HEUR/Crypted in C:\System Volume Information\...\A0010941.exe Konnte beide Funde nicht löschen, war nur die Auswahl zwischen In Quarantäne verschieben, Zugriff verweigen und Ignorieren. Geändert von mikaeyy (21.11.2008 um 15:23 Uhr) |
01.12.2008, 17:58 | #13 |
| Ist diese EXE verseucht? Fahr im abgesicherten Modus (beim booten f8) hoch und probiers nochmal. Du musst avira im abgesicherten Modus übrigens manuell starten. Wenn das net gehn sollte würd ichs mit unlocker probiern ( damit kann man auch laufende Prozesse die die Eigenschaft System haben beenden) und dann mal löschen. Avira halte ich persönlich für Müll, vor allem die Gratisversion. Wie auch hier erkennt es nicht die Quelle sondern nur die geladene Datei. |
01.12.2008, 18:42 | #14 | |
| Ist diese EXE verseucht? @mikaeyy Starte Hijackthis => Do a system scan only => Markiere folgende Einträge: Code:
ATTFilter O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O20 - AppInit_DLLs: , Zitat:
ciao, andreas |
01.12.2008, 19:20 | #15 |
/// Helfer-Team | Ist diese EXE verseucht? Hat sich wohl erledigt, der Thread: http://www.trojaner-board.de/65311-bitte-einmal-durchschauen-danke.html http://www.trojaner-board.de/64880-trojaner-auf-dem-pc.html
__________________ Alle Tipps und Anleitungen ohne Gewähr |
Themen zu Ist diese EXE verseucht? |
.dll, abend, aktualisierung, crypter, dynamic, ergebnis, exe, folge, freund, generic, ide, infiziert, infiziert?, kernel, library, link, programm, verseucht, verseucht?, virus, virustotal |