Trojaner-Board - Was ist Click Me.exe?

Trojaner-Board (https://www.trojaner-board.de/)

- Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)

- - Was ist Click Me.exe? (https://www.trojaner-board.de/77057-click-me-exe.html)

Was ist Click Me.exe?

Heyho alle zusammen.

Nachdem ich einige Streifzüge durch alle möglichen Internetseiten und Foren vollzogen hab und nich wirklich ne gefunden hab, frag ich einfach mal euch.

Ich besitze ein MSI Megabook GX700
Auf dem Desktop befindet sich eine Datei namens Click Me, die auch nur mit der Sicherheitsabfrage ausgeführt werden kann.
Die Datei hat sich schon beim allerersten Start auf dem Desktop befunden und erscheint bei jedem Neuaufsetzen auch dort wieder.
Wenn man sie ausführt, tut sich rein gar nix und die Datei verschwindet einfach.

Wie ich in anderen Foren schon gelesen hab, scheint sich diese Datei auch auf allen anderen Notebooks von MSI und auch von anderen Herstellern zu befinden.

Die Datei scheint kein Virus zu sein und auch sonst keine schädlichen Auswirkungen zu haben, daher frage ich mich natürlich für was diese Datei gut sein mag:confused:

Hat vllt einer von euch ne Ahnung?

Gruß
Metal

Hallo,

besonders vertrauenswürdig sieht diese Datei auf dem ersten Blick nach nicht aus. Bitte diese Liste beachten und abarbeiten.

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

ich hab die Datei noch gar nicht ausgeführt, da ich schon allein den Namen abschreckend finde :D

kann die datei jedoch uploaden, wenn du sie untersuchen willst^^

Ja, okay, dann bitte bei Virustotal. Ergebnisse komplett und inkl. Prüfsummen dann bitte posten.

MD5: 6c48bc9628bfa5f5c127952bc7d27068
First received: 2007.10.27 18:03:12 UTC
Datum 2009.08.20 19:44:56 UTC [>12D]
Ergebnisse 1/41
Permalink: analisis/3101ed695ba1b9deb4a68b22c63d1f30b075eb2e34314e59bf16320310cf0e94-1250797496

Code:

 Datei Click_Me.exe empfangen 2009.09.02 19:27:09 (UTC)

Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 1/41 (2.44%)

Laden der Serverinformationen...

Ihre Datei wartet momentan auf Position: 2.

Geschätzte Startzeit ist zwischen 52 und 75 Sekunden.

Dieses Fenster bis zum Abschluss des Scans nicht schließen.

Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.

Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.

Ihre Datei wird momentan von VirusTotal überprüft,

Ergebnisse werden sofort nach der Generierung angezeigt.

Filter Filter

Drucken der Ergebnisse Drucken der Ergebnisse

Datei existiert nicht oder dessen Lebensdauer wurde überschritten

Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
 

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.

Email:         

        

Antivirus         Version         letzte aktualisierung         Ergebnis

a-squared        4.5.0.24        2009.09.02        -

AhnLab-V3        5.0.0.2        2009.09.02        -

AntiVir        7.9.1.7        2009.09.02        -

Antiy-AVL        2.0.3.7        2009.09.02        -

Authentium        5.1.2.4        2009.09.02        -

Avast        4.8.1335.0        2009.09.01        -

AVG        8.5.0.409        2009.09.02        -

BitDefender        7.2        2009.09.02        -

CAT-QuickHeal        10.00        2009.09.02        -

ClamAV        0.94.1        2009.09.02        -

Comodo        2173        2009.09.02        -

DrWeb        5.0.0.12182        2009.09.02        -

eSafe        7.0.17.0        2009.09.02        -

eTrust-Vet        31.6.6716        2009.09.02        -

F-Prot        4.5.1.85        2009.09.01        -

F-Secure        8.0.14470.0        2009.09.02        -

Fortinet        3.120.0.0        2009.09.02        -

GData        19        2009.09.02        -

Ikarus        T3.1.1.68.0        2009.09.02        -

Jiangmin        11.0.800        2009.09.02        -

K7AntiVirus        7.10.834        2009.09.02        -

Kaspersky        7.0.0.125        2009.09.02        -

McAfee        5728        2009.09.02        -

McAfee+Artemis        5728        2009.09.02        -

McAfee-GW-Edition        6.8.5        2009.09.02        -

Microsoft        1.5005        2009.09.02        -

NOD32        4390        2009.09.02        -

Norman                2009.09.02        -

nProtect        2009.1.8.0        2009.09.02        -

Panda        10.0.2.2        2009.09.02        -

PCTools        4.4.2.0        2009.09.02        -

Prevx        3.0        2009.09.02        -

Rising        21.45.14.00        2009.09.01        -

Sophos        4.45.0        2009.09.02        -

Sunbelt        3.2.1858.2        2009.09.01        Trojan.Win32.Generic!BT

Symantec        1.4.4.12        2009.09.02        -

TheHacker        6.3.4.3.395        2009.09.02        -

TrendMicro        8.950.0.1094        2009.09.02        -

VBA32        3.12.10.10        2009.09.01        -

ViRobot        2009.9.2.1914        2009.09.02        -

VirusBuster        4.6.5.0        2009.09.02        -

weitere Informationen

File size: 167936 bytes

MD5...: 6c48bc9628bfa5f5c127952bc7d27068

SHA1..: 9a2a13dfbcd2c00c43b3104942dee3fae9ad53b6

SHA256: 3101ed695ba1b9deb4a68b22c63d1f30b075eb2e34314e59bf16320310cf0e94

ssdeep: 3072:1q5t6fbCpWnS8veAhT0PNs/otiszj2qGZpteDV:0KGp6S8vLhgEowW2ZcV

PEiD..: -

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0xca1f

timedatestamp.....: 0x464801b6 (Mon May 14 06:29:10 2007)

machinetype.......: 0x14c (I386)
 

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x1d77a 0x1e000 6.62 248b87dfbca9cea537b2405aef2049fe

.rdata 0x1f000 0x67ea 0x7000 4.81 e18b3a6b0553792a505a9c0b5ad21dbf

.data 0x26000 0x58b4 0x2000 3.73 efea3849328e6163436ca9d25a76493b

.rsrc 0x2c000 0x2c8 0x1000 3.79 0cba0a53b59b35916c1ff9c1562dc567
 

( 9 imports )

> KERNEL32.dll: GlobalFlags, GetLocaleInfoA, GetCPInfo, GetOEMCP, GetCurrentDirectoryA, HeapFree, HeapAlloc, VirtualAlloc, HeapReAlloc, GetCommandLineA, GetProcessHeap, RtlUnwind, RaiseException, HeapSize, ExitProcess, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, HeapDestroy, HeapCreate, VirtualFree, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetStartupInfoA, QueryPerformanceCounter, GetTickCount, GetSystemTimeAsFileTime, GetACP, GetTimeZoneInformation, GetDriveTypeA, Sleep, GetConsoleCP, GetConsoleMode, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, SetEnvironmentVariableA, GetCurrentThreadId, GlobalAddAtomA, GlobalFindAtomA, GlobalDeleteAtom, lstrcmpW, GetVersionExA, lstrcmpA, GlobalGetAtomNameA, TlsFree, DeleteCriticalSection, LocalReAlloc, TlsSetValue, TlsAlloc, InitializeCriticalSection, GlobalHandle, GlobalReAlloc, EnterCriticalSection, TlsGetValue, LeaveCriticalSection, LocalAlloc, InterlockedIncrement, GetCurrentProcessId, GetFileTime, GetFileAttributesA, FreeLibrary, InterlockedDecrement, GetModuleHandleA, GlobalFree, GlobalAlloc, GlobalLock, GlobalUnlock, FormatMessageA, LocalFree, FileTimeToLocalFileTime, FileTimeToSystemTime, FindNextFileA, GetProcAddress, GetFullPathNameA, GetVolumeInformationA, FindFirstFileA, FindClose, GetCurrentProcess, DuplicateHandle, GetThreadLocale, GetFileSize, SetEndOfFile, UnlockFile, LockFile, FlushFileBuffers, SetFilePointer, ReadFile, LoadLibraryA, SetLastError, GetVersion, CompareStringA, GetLastError, InterlockedExchange, CompareStringW, lstrlenA, WriteFile, CreateFileA, GetModuleFileNameA, GetTempPathA, CloseHandle, MultiByteToWideChar, FindResourceA, LoadResource, LockResource, SizeofResource, GetStdHandle, WideCharToMultiByte

> USER32.dll: DestroyMenu, SetMenuItemBitmaps, GetMenuCheckMarkDimensions, LoadBitmapA, ModifyMenuA, EnableMenuItem, CheckMenuItem, SetWindowTextA, ValidateRect, RegisterWindowMessageA, LoadIconA, WinHelpA, GetCapture, SetWindowsHookExA, CallNextHookEx, GetClassLongA, GetClassNameA, SetPropA, GetPropA, RemovePropA, GetFocus, IsWindow, GetForegroundWindow, DispatchMessageA, GetDlgItem, GetTopWindow, DestroyWindow, GetMessagePos, PeekMessageA, MapWindowPoints, GetKeyState, SetForegroundWindow, GetClientRect, GetMenu, PostMessageA, CreateWindowExA, GetClassInfoExA, GetClassInfoA, RegisterClassA, AdjustWindowRectEx, CopyRect, PtInRect, GetDlgCtrlID, DefWindowProcA, CallWindowProcA, MessageBoxA, wsprintfA, CharUpperA, SetWindowLongA, SetWindowPos, SystemParametersInfoA, IsIconic, GetWindowPlacement, GetWindowRect, GetWindow, ClientToScreen, GetMessageTime, PostQuitMessage, GetSystemMetrics, GetSubMenu, GetMenuItemCount, GetMenuItemID, GetMenuState, UnhookWindowsHookEx, EnableWindow, IsWindowEnabled, GetLastActivePopup, GetWindowLongA, GetParent, SendMessageA, GetWindowThreadProcessId, GetSysColorBrush, GetSysColor, ReleaseDC, GrayStringA, DrawTextExA, DrawTextA, TabbedTextOutA, UnregisterClassA, GetWindowTextA, LoadCursorA, GetDC

> GDI32.dll: DeleteDC, PtVisible, CreateBitmap, GetStockObject, ScaleWindowExtEx, SetWindowExtEx, ScaleViewportExtEx, SetViewportExtEx, OffsetViewportOrgEx, SetViewportOrgEx, SelectObject, Escape, ExtTextOutA, TextOutA, GetDeviceCaps, DeleteObject, GetClipBox, SetMapMode, SetTextColor, SetBkColor, RestoreDC, SaveDC, RectVisible

> comdlg32.dll: GetFileTitleA

> WINSPOOL.DRV: ClosePrinter, DocumentPropertiesA, OpenPrinterA

> SHELL32.dll: ShellExecuteA

> SHLWAPI.dll: PathStripToRootA, PathIsUNCA, PathFindFileNameA

> ole32.dll: CoUninitialize, CoCreateInstance, CoInitialize

> OLEAUT32.dll: -, -, -
 

( 0 exports )

RDS...: NSRL Reference Data Set

-

pdfid.: -

trid..: Win32 Executable MS Visual C++ (generic) (65.2%)

Win32 Executable Generic (14.7%)

Win32 Dynamic Link Library (generic) (13.1%)

Generic Win/DOS Executable (3.4%)

DOS Executable Generic (3.4%)

oO scheint wohl tatsächlich n Trojaner zu sein....aber wieso ist der schon von Anfang an auf dem Rechner installiert?

Nachdem Recovern ist die click_me.exe direkt da drauf? :confused:
Was sagen den die Version- und Herstellerinfos, wenn Du Dir die Eigenschaften anzeigen lässt über Rechtsklick auf die click-me.exe => Eigenschaft, Reiter Version?

wenn du den Reiter Details meinst, da steht nur
Typ Anwendung
Größe 164kb
Änderungsdatum 14.5.2007 08:29

mehr nicht

Kannst Du die Datei mal hochladen bei file-upload.net und hier verlinken? Ich teste die mal in einer VM. :)

http://www.file-upload.net/download-...ck-Me.exe.html

Bitteschön :)

ich hab den link mal unverändert, wenn ichs ändern soll, einfach nur kurz bescheid geben

Ich bekomm da nur ein Fehler "Application" not found. Ehrlich gesagt kann ich immer noch nicht eindeutig sagen, ob das Malware ist oder zu MSI gehört. Ich würde die Datei einfach löschen.

Hi,

Analyse von Click Me:

Code:

http://www.sunbeltsecurity.com/cwsandboxreport.aspx?id=10365033&cs=2030156EDDBD659F2242CC0C88E12448

Geht über COM auf die svchost, was eigentlich kein gutes Zeichen ist...
Währe interessant sich die generierte Bat mal anzusehen...

chris

...und wie kann man die anschaun?^^

hab mal n bisschen rumgegooglet (schreibt man das so? :confused: ) und bin auf den Tip gestoßen das Endung mal in .txt umzuwandeln...da steht jetzt zwar einiges, aber kann damit nicht viel anfangen, vllt sagt das ja euch ein wenig mehr :D

(habs hier gefunden: h**p://forum-en.msi.com/index.php?topic=113010.0)

hat sich schon einer das Ding als Text genauer angeschaut? :kloppen:

(will ja nicht drängeln, weiss dass ihr viel zu tun habt^^)

:applaus:
Sorry gehört nicht zum Beitrag aber ich bin gespannt was das ist?
Wenn der Notebook vom laden kommt und die exe schon drauf ist?
Wie krass ist das den? :D

Vielleicht gibt eine Virus Mafia Oo
Zwischen MSI und den Laden nimmt jemand die Lapis und installiert den
Virus auf jeden neuen Notebook, damit sich der Virus schneller verbreitet Oo

Jetzt habe ich in Titel für ein Krimie:
"Die Virus MSI Notebook Mafia"
:D

Da ich bald mein Rechner neuaufsetzte habe ich die exe ins txt umgewandelt
Das hier kommt raus:

Code:

[.....]Eä‹E‰Eè‹E‰Eì‹E ‰Eðƒeô ƒeø ƒeü ‰eô‰mød¡    ‰EØEØd£    ÇEÈ   ‹E‰EÌ‹E‰EÐèßi  ‹€€   ‰EÔEÌP‹Eÿ0ÿUÔYYƒeÈ ƒ}ü td‹    ‹‹]Ø‰d‰    ë        ‹EØd£    ‹EÈ[ÉÃU‹ìQSü‹E‹H3MèŽîÿÿ‹E‹@j j j j j EüPh#  è¥þÿÿƒÄ‹Eü‹]‹c‹k ÿà3À@Äƒ}$ „µ   +u9u(v(Vÿuÿu(ÿu$è™

EìPE¸Pèß€  …ÀYÉÁYéÚ$  QL$+ÈƒáÁÉÁYéÄ$  ‹…ö…nûÿÿ¶pè¶Qè+òt3Ò…öŸÂTÿ‹ò…ö…Mûÿÿ¶pé¶Qé+òt3Ò…öŸÂTÿ‹ò…ö…,ûÿÿ¶pê¶Qê+òt3Ò…öŸÂTÿ‹òë3ö…ö…ûÿÿ‹Pë;Qët}¶ò¶Që+òt3Ò…öŸÂTÿ‹ò…ö…ßúÿÿ¶pì¶Qì+òt3[.....]

Das könnte evtl. interessant sein:

Code:

[...]An application has made an attempt to load the C runtime library incorrectly.

Please contact the application's support team for more information.

      R6033

- Attempt to use MSIL code from this assembly during native code initialization

This indicates a bug in your application. It is most likely the result of calling an MSIL-compiled (/clr) function from a native constructor or from DllMain.

  R6032

- not enough space for locale information

      R6031

- Attempt to initialize the CRT more than once.

This indicates a bug in your application.

  R6030

- CRT not initialized

  R6028

- unable to initialize heap

    R6027

- not enough space for lowio initialization

    R6026

- not enough space for stdio initialization

    R6025

- pure virtual function call

   R6024

- not enough space for _onexit/atexit table

    R6019

- unable to open console device

    R6018

- unexpected heap error

    R6017

- unexpected multithread lock error

    R6016

- not enough space for thread data

 

This application has requested the Runtime to terminate it in an unusual way.

Please contact the application's support team for more information.

   R6009

- not enough space for environment

 R6008

- not enough space for arguments

   R6002

- floating point not loaded

    Microsoft Visual C++ Runtime Library    
 

  ... <program name unknown>  Runtime Error!
 

Program:    EncodePointer   KERNEL32.DLL    DecodePointer   FlsFree FlsSetValue FlsGetValue FlsAlloc            
 

 !"#$%&'()*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghijklmnopqrstuvwxyz{|}~ =   KOA ¬/B cMA `—A bad exception   SunMonTueWedThuFriSat   JanFebMarAprMayJunJulAugSepOctNovDec    TZ  e+000      À~PA   €ÿÿGAIsProcessorFeaturePresent   InitializeCriticalSectionAndSpinCount   GetProcessWindowStation GetUserObjectInformationA   GetLastActivePopup  GetActiveWindow MessageBoxA USER32.DLL   Complete Object Locator'    Class Hierarchy Descriptor'     Base Class Array'   Base Class Descriptor at (  Type Descriptor'   `local static thread guard' `managed vector copy constructor iterator'  `vector vbase copy constructor iterator'    `vector copy constructor iterator'  `dynamic atexit destructor for '    `dynamic initializer for '  `eh vector vbase copy constructor iterator' `eh vector copy constructor iterator'   `managed vector destructor iterator'    `managed vector constructor iterator'   `placement delete[] closure'    `placement delete closure'  `omni callsig'   delete[]    new[]  `local vftable constructor closure' `local vftable' `RTTI   `EH `udt returning' `copy constructor closure'  `eh vector vbase constructor iterator'  `eh vector destructor iterator' `eh vector constructor iterator'    `virtual displacement map'  `vector vbase constructor iterator' `vector destructor iterator'    `vector constructor iterator'   `scalar deleting destructor'    `default constructor closure'   `vector deleting destructor'    `vbase destructor'  `string'    `local static guard'    `typeof'    `vcall' `vbtable'   `vftable'   ^=  |=  &=  <<= >>= %=  /=  -=  +=  *=  ||  &&  |   ^   ~   ()  ,   >=  >   <=  <   %   /   ->* &   +   -   --  ++  *   ->  operator    []  !=  ==  !   <<  >>   delete  new    __unaligned __restrict  __ptr64 __clrcall   __fastcall  __thiscall  __stdcall   __pascal    __cdecl __based(        0B (B B B B øB ìB äB ØB ÌB ] B B ôB àB[...]

Und villeicht das hier: (steht ganz unten)

Code:

[...]<requestedExecutionLevel level="requireAdministrator" uiAccess="false"></requestedExecutionLevel>

        </requestedPrivileges></ms_asmv3:security></ms_asmv3:trustInfo></assembly>PAPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXX[...]

*Uraltthread rauskram* http://www.smileygarden.de/smilie/Ha.../11%5B1%5D.gif

Is schon jemand schlauer draus geworden?^^

Mich lässt die Frage einfach nicht in Ruhe

:killpc: