Nabend,
hab von einem 'Freund' ein Programm zugeschickt bekommen und bei Virustotal hochgeladen, mit folgendem Ergebnis:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.11.18.2 2008.11.19 -
AntiVir 7.9.0.34 2008.11.19 HEUR/Crypted
Authentium 5.1.0.4 2008.11.18 -
Avast 4.8.1281.0 2008.11.19 -
AVG 8.0.0.199 2008.11.19 Win32/PolyCrypt
BitDefender 7.2 2008.11.19 -
CAT-QuickHeal 10.00 2008.11.19 -
ClamAV 0.94.1 2008.11.19 -
DrWeb 4.44.0.09170 2008.11.19 -
eSafe 7.0.17.0 2008.11.19 -
eTrust-Vet 31.6.6217 2008.11.19 -
Ewido 4.0 2008.11.19 -
F-Prot 4.4.4.56 2008.11.18 -
F-Secure 8.0.14332.0 2008.11.19 -
Fortinet 3.117.0.0 2008.11.19 -
GData 19 2008.11.19 -
Ikarus T3.1.1.45.0 2008.11.19 -
K7AntiVirus 7.10.528 2008.11.19 -
Kaspersky 7.0.0.125 2008.11.19 -
McAfee 5439 2008.11.19 -
Microsoft 1.4104 2008.11.19 -
NOD32 3625 2008.11.19 -
Norman 5.80.02 2008.11.19 -
Panda 9.0.0.4 2008.11.19 -
PCTools 4.4.2.0 2008.11.19 -
Prevx1 V2 2008.11.19 -
Rising 21.04.22.00 2008.11.19 -
SecureWeb-Gateway 6.7.6 2008.11.19 Heuristic.Crypted
Sophos 4.35.0 2008.11.19 Sus/Compack-H
Sunbelt 3.1.1801.2 2008.11.14 Virus.Win32.Agent.AJ (vf)
Symantec 10 2008.11.19 -
TheHacker 6.3.1.1.158 2008.11.19 -
TrendMicro 8.700.0.1004 2008.11.19 -
VBA32 3.12.8.9 2008.11.19 -
ViRobot 2008.11.18.1474 2008.11.18 -
VirusBuster 4.5.11.0 2008.11.19 -
weitere Informationen
File size: 268024 bytes
MD5...: 179d5b7bd400440992b77a075c01b482
SHA1..: b9fcf6d241eb1acfd265177829e4390738691eec
SHA256: e5cab1174749f4ce6465f9affd34a2edf1d1d04b5ca998e0a094f688cca2a222
SHA512: ef1205c9df344c4db3df60e76656f5a898a1abf545b555d11f46ce40278dccf9
d44fb6a268cf431429afc94e5f8b576da7242aefb2aa9445f9124a046a90089f
PEiD..: -
TrID..: File type identification
Win32 EXE Yoda's Crypter (56.9%)
Win32 Executable Generic (18.2%)
Win32 Dynamic Link Library (generic) (16.2%)
Generic Win/DOS Executable (4.2%)
DOS Executable Generic (4.2%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x43a060
timedatestamp.....: 0x48f60368 (Wed Oct 15 14:51:20 2008)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x34000 0x11000 7.99 a088151bc3f8a12ffcfe2047c00ecce3
.rsrc 0x35000 0x2000 0x2000 4.20 70776b219d62f9063ebd6380bc2a540e
. 0x37000 0x1000 0x1000 5.96 e9983b60846ca69b17535b6d29bc3719
. 0x38000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.zhywx 0x39000 0xf3a 0x1000 5.44 50b1c8e6aa2745d441f836ae29448c8b
.exp 0x3a000 0x2000 0xcf7 5.32 20cc14d6a679feb7c32146874379bbca

( 1 imports )
> Kernel32.dll: LoadLibraryA, GetProcAddress

( 0 exports )
packers (Kaspersky): IDPsw


Ist die Exe eindeutig infiziert?

Das Trojaner-Board lebt davon, dass User ein Programm auf ihrem Rechner installieren, nachdem ihr Virenscanner und/oder Virustotal grünes Licht gegeben hat. Trotzdem (?) ist plötzlich ihr Rechner infiziert.

Beantwortet das deine Frage?

Für solche netten Dinger habe ich ne virtuelle Maschine in der ich es dann ausführe. Wenn es da alles kaputtknabbert setze ich einfach einen Klon der virtuellen Maschine neu auf und lösche den infizierten :-D

Seit ich trotz paranoid eingestellter firewall trojan.bloodhound in meinem ff- Profil hatte und die Datein die ich installiert hatte nur von sites wie chip.de etc kamen und dann noch formatieren musste weil ich einem firepack auf den Leim gegangen bin surfe ich fast nur noch über meine virtuelle Maschine

Ich surf hauptsächlich mit Linux und Online Banking auch. Zum Spielen ist XP aber grade recht.

Zitat:

Zitat von ka0t

Für solche netten Dinger habe ich ne virtuelle Maschine in der ich es dann ausführe.

Einige dieser "netten Dinger" erkennen es, wenn sie in einer virtuellen Maschine gestartet werden sollen, und verweigern dann den Dienst.

Nur die von codesoft.cc - und wenn ich irgendein nonameprog verwenden will dann nur in meiner virtuellen Maschine.
und ich glaub das antivm immo gefixxt wurde- nur antisandboxie gibts ja schon ewig ...
Das die Amateur - freeware Kiddie Trojabaukästchen auch ein neues antivm haben glaube ich mal net - aber 100% sicher kann man ja nie sein ...

Meine fw von Agnitum hat recht gute Wertungen bzgl antileak und Selbstschutz - auch wenn die Virendefinitionen schlecht sind hat es mich vor so manchem Müll bewahrt.

Zitat:

Zitat von ka0t

und ich glaub das antivm immo gefixxt wurde- nur antisandboxie gibts ja schon ewig ...

Du schreibst in Rätseln.

Ich meine die Teile der Trojaner die erkennen ob sich der Trojaner nun in einer virtuellen Umgebung befinden. Vmware hat den Trick den es benutzt beseitigt. Es gibt noch ein kleineres Programm, das eine virtuelle Umgebung erstellt names Sandboxie - da gibt es meines Wissens schon lange einen Trick, der nicht behoben wurde.

Zitat:

Das Trojaner-Board lebt davon, dass User ein Programm auf ihrem Rechner installieren, nachdem ihr Virenscanner und/oder Virustotal grünes Licht gegeben hat. Trotzdem (?) ist plötzlich ihr Rechner infiziert.

Beantwortet das deine Frage?

Also nicht installieren, weil wegen Virus?


Und ka0t, könntest du mir Näheres zu der virtuellen Maschine und wo ich solch eine 'vermutlich unerkannte von Viren' herbekomme, per pm schicken?

Zitat:

Zitat von mikaeyy

Also nicht installieren, weil wegen Virus?

Genau, nicht installieren wegen hoher Virus-Gefahr.

Zitat:

hab von einem 'Freund' ein Programm zugeschickt bekommen und bei Virustotal hochgeladen, mit folgendem Ergebnis:

Ich meine, die Sache ist dir selbst ja von Anfang spanisch vorgekommen, oder nicht?

Okay, hab auch mal nach den Ergebnissen von Virustotal gegoogelt.
Und hast ja Recht, also Danke schonmal :P Solang ich die Exe nicht ausgeführt habe, dürfte nichts passiert sein oder?

Sicherheitshalber habe ich mal einen Hijackthislog anfertigen lassen, würde mich freuen, wenn du/jmd anderes mal einen Blick drüber werfen könnte, da mein Browser etwas länger braucht als sonst um normale Seiten zu laden.

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:25:32, on 20.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\PROGRA~1\SSS\SIMPLESCREENSHOT.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Steam\Steam.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wpabaln.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Java\jre6\bin\java.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\mikey\Desktop\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SimpleScreenshot] C:\PROGRA~1\SSS\SIMPLESCREENSHOT.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Dokumente und Einstellungen\mikey\Lokale Einstellungen\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" -inv:bootrun
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: ,
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5432 bytes

Dankeschön

btw, auch wenns vllt nicht 'verdächtig' ist, was bedeutet dies hier?

Zitat:

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

Nunja, mein AntiVir hat mir gerade einen Fund 'HEUR/Crypted' gezeigt und die Exe ist, die die ich bei Virustotal hochgeladen habe, habe sie aber nicht ausgeführt gehabt.
Und noch eine Meldung..
HEUR/Crypted in C:\System Volume Information\...\A0010941.exe

Konnte beide Funde nicht löschen, war nur die Auswahl zwischen In Quarantäne verschieben, Zugriff verweigen und Ignorieren.

Fahr im abgesicherten Modus (beim booten f8) hoch und probiers nochmal.
Du musst avira im abgesicherten Modus übrigens manuell starten.
Wenn das net gehn sollte würd ichs mit unlocker probiern ( damit kann man auch laufende Prozesse die die Eigenschaft System haben beenden) und dann mal löschen.

Avira halte ich persönlich für Müll, vor allem die Gratisversion. Wie auch hier erkennt es nicht die Quelle sondern nur die geladene Datei.

@mikaeyy

Starte Hijackthis => Do a system scan only => Markiere folgende Einträge:

Code: Alles auswählenAufklappen

ATTFilter

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O20 - AppInit_DLLs: ,
         

Klick auf Fixed Checked

Zitat:

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

Das ist die Netzwerkdiagnose von Microsoft. Ziemlich sinnfrei das Teil, kann gefixt werden.

ciao, andreas

Hat sich wohl erledigt, der Thread:
http://www.trojaner-board.de/65311-bitte-einmal-durchschauen-danke.html
http://www.trojaner-board.de/64880-trojaner-auf-dem-pc.html