Backdoor.bot - Objekt: WinRAR\Zip.SFX

kosova · 16.09.2010, 19:00

Hallo allerseits,

habe seit dem ich eben einen Mwb scan gemacht habe bemerkt das was komisches gefunden wurde...

Zitat:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4629

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943

16.09.2010 20:01:20
mbam-log-2010-09-16 (20-01-20).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 210662
Laufzeit: 1 Stunde(n), 11 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Program Files\WinRAR\Zip.SFX (Backdoor.Bot) -> No action taken.

was kann ich tun um dieses ding zu entfernen und seine schäden (denke ich mal) einzusehen und zu entfernen ?

markusg · 16.09.2010, 19:03

das ist ein fehlalarm
wenn du es in der quarantäne von Malwarebytes hast, wiederherstellen und bei vt hochladen
VirusTotal - Free Online Virus, Malware and URL Scanner
C:\Program Files\WinRAR\Zip.SFX
ergebniss link posten.

kosova · 16.09.2010, 19:11

zuspät

sry aber habe mal was eigenes durchgezogen habe die datei einfach gefunden (über den pfad und gelöscht) - allerding kann ich wenns sein muss die datei versuchen wiederherzustellen mit so nem programm....

dann habe ich zusätzlich mit MWB auf entfernen geklickt... wurde bestätigt das das ding jetzt gelöscht wurde nach dem ich neustart mache...

markusg · 16.09.2010, 19:15

wieso fragst du denn nach hilfe wenn du sowieso allein arbeitest?
datei brauchst nicht wieder herstellen, wenn dein winrar original ist, brauchst dir keine sorgen zu machen

kosova · 16.09.2010, 19:16

ok...
danke trotzdem

kosova · 17.09.2010, 19:26

guten abend allerseits!

habe gestern ja diesen threat eröffnet...

heute hab ich schon den nächsten "verdacht"

habe eben ne ähnlich datei (wie die von gestern) bei vt geprüft und siehe da...

Zitat:

McAfee-GW-Edition 2010.1C 2010.09.17 Heuristic.BehavesLike.Win32.Suspicious.H

Zitat:

Additional information
Show all
MD5 : 20d45e857016cb47f0daf908beff5241
SHA1 : d7eff034398a9665093715d1ac49e03645722355
SHA256: bd499e99f1b959eb8b280b53dbfc7296cc834ac6e154a519bddcb9de957e5e41
ssdeep: 1536:Yx+Kf/6hHgjSQsFhD2A+k1FAQ9EHcklGe7Myeu:c+Kf/6ijZuhDnW1Z7Heu
File size : 70656 bytes
First seen: 2010-05-16 19:43:24
Last seen : 2010-09-17 18:21:35
TrID:
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0xAA6A
timedatestamp....: 0x4B236C37 (Sat Dec 12 10:11:03 2009)
machinetype......: 0x14c (I386)

[[ 5 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0xDD5D, 0xDE00, 6.58, 1584b69f5783edd418ab7c4e086fe849
.rdata, 0xF000, 0xA65, 0xC00, 4.78, 62b265ded2d8ec7ec5aba7f8b35f858c
.data, 0x10000, 0x9380, 0x200, 3.37, 508c3add9bd28cdc8cf841d0f4ec7c46
.CRT, 0x1A000, 0xC, 0x200, 0.16, d621302d5d7f4e719d5a4e57ae444ea2
.rsrc, 0x1B000, 0x2154, 0x2200, 3.77, 29c56896aa9ba67a6c897f8e6af533ab

[[ 3 import(s) ]]
KERNEL32.dll: GetLastError, GetCurrentProcess, SetFileTime, MoveFileA, SetFilePointer, SetEndOfFile, GetFileType, CreateFileA, CreateFileW, ReadFile, WriteFile, GetDriveTypeA, GetFileAttributesA, GetFileAttributesW, SetFileAttributesA, SetFileAttributesW, DeleteFileA, DeleteFileW, CreateDirectoryA, CreateDirectoryW, CloseHandle, FindNextFileA, FindFirstFileA, FindNextFileW, FindFirstFileW, GetVersionExA, GetCommandLineA, SetErrorMode, GetModuleFileNameA, HeapAlloc, GetProcessHeap, HeapFree, HeapReAlloc, CompareStringA, ExitProcess, LocalFileTimeToFileTime, SystemTimeToFileTime, FileTimeToSystemTime, FileTimeToLocalFileTime, GetSystemTime, WideCharToMultiByte, MultiByteToWideChar, IsDBCSLeadByte, GetCPInfo, Sleep, GetStdHandle, GetConsoleMode, SetConsoleMode, FindClose, ReadConsoleA
USER32.dll: CharToOemBuffA, CharUpperA, wvsprintfA, OemToCharA, CharToOemA, OemToCharBuffA, LoadStringA
ADVAPI32.dll: LookupPrivilegeValueA, OpenProcessToken, SetFileSecurityA, SetFileSecurityW, AdjustTokenPrivileges

die datei heißt übrigens: WinCon.SFX

markusg · 17.09.2010, 19:35

kannst die ja mal zu uns hochladen, aber auch die wird clean sin.
http://www.trojaner-board.de/54791-a...ner-board.html

kosova · 18.09.2010, 10:38

was jetzt ?? - hochgeladen...

markusg · 18.09.2010, 12:43

ist sauber

kosova · 18.09.2010, 16:32

ok. danke.

16.09.2010, 19:03	#2
markusg /// Malware-holic	$Backdoor.bot - Objekt: WinRAR\Zip.SFX - Standard$ Backdoor.bot - Objekt: WinRAR\Zip.SFX das ist ein fehlalarm wenn du es in der quarantäne von Malwarebytes hast, wiederherstellen und bei vt hochladen VirusTotal - Free Online Virus, Malware and URL Scanner C:\Program Files\WinRAR\Zip.SFX ergebniss link posten. __________________

16.09.2010, 19:15	#4
markusg /// Malware-holic	$Backdoor.bot - Objekt: WinRAR\Zip.SFX - Standard$ Backdoor.bot - Objekt: WinRAR\Zip.SFX wieso fragst du denn nach hilfe wenn du sowieso allein arbeitest? datei brauchst nicht wieder herstellen, wenn dein winrar original ist, brauchst dir keine sorgen zu machen

17.09.2010, 19:35	#7
markusg /// Malware-holic	$Backdoor.bot - Objekt: WinRAR\Zip.SFX - Standard$ Backdoor.bot - Objekt: WinRAR\Zip.SFX kannst die ja mal zu uns hochladen, aber auch die wird clean sin. http://www.trojaner-board.de/54791-a...ner-board.html

18.09.2010, 12:43	#9
markusg /// Malware-holic	$Backdoor.bot - Objekt: WinRAR\Zip.SFX - Standard$ Backdoor.bot - Objekt: WinRAR\Zip.SFX ist sauber

Backdoor.bot - Objekt: WinRAR\Zip.SFX

Log-Analyse und Auswertung: Backdoor.bot - Objekt: WinRAR\Zip.SFX