Trojaner-Board - resycled\boot.com konnte nicht gefunden werden...

Sehen wir uns das Log von Avira doch einmal genauer an:

Zitat:

E:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\Pokemon Games -17in1- (AIO) [h33t][migel]\17 Pokemon Games\Emulator\VisualBoyAdvance.exe
[FUND] Enthält Code des Windows-Virus W32/Virut.Gen

Offensichtlich sagt dir Virut nichts. Das ist ein Fileinfector, der jede .exe und .scr befällt, die er in die Hände bekommt. Gleich ein tiefer:

Zitat:

E:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\The Godfather II Crack by EvoxFIN\KeyGen TGF2.EXE
[FUND] Enthält Code des Windows-Virus W32/Virut.Gen

Aus meiner Meinung zu Cracks, Patches, Warez und insbesondere Keygens mache ich kein Geheimnis. Suche nach Keygen und john.doe. ;)

Jetzt wurde ich aber neugierig, wo denn Virut eigentlich hergekommen ist. Ich habe mir den "Spaß" gemacht, dieses Torrent zu saugen. Näheres später.

1.) Es gibt schon einen Grund, warum ich grundsätzlich alle P2P-Software deinstallieren lasse. Hier steht mehr: http://www.trojaner-board.de/427703-post2.html.

2.) Ich habe das jetzt nicht gesaugt, weil geklaute Software cool ist und das ja alle machen, sondern weil ich das Ergebnis schon vorher kannte. Nach Entpacken hatte ich zwei Programme und zwar:

Code:

GODFATHER2.EXE

KeyGen TGF2.EXE

Ich ließ beide bei VT auswerten. Das Ergebnis:

Code:

Datei KeyGen_TGF2.EXE empfangen 2009.04.27 21:09:03 (CET)

Status:   Beendet 

Ergebnis: 17/40 (42.5%) 

 Filter 

Drucken der Ergebnisse  Antivirus        Version        letzte aktualisierung        Ergebnis

a-squared        4.0.0.101        2009.04.27        Trojan-Dropper.Agent!IK

AhnLab-V3        5.0.0.2        2009.04.27        -

AntiVir        7.9.0.156        2009.04.27        DR/Drop.Agent.alur.2

Antiy-AVL        2.0.3.1        2009.04.27        -

Authentium        5.1.2.4        2009.04.27        -

Avast        4.8.1335.0        2009.04.27        Win32:Trojan-gen {Other}

AVG        8.5.0.287        2009.04.27        -

BitDefender        7.2        2009.04.27        MemScan:Trojan.Agent.AMQK

CAT-QuickHeal        10.00        2009.04.27        -

ClamAV        0.94.1        2009.04.27        -

Comodo        1138        2009.04.27        TrojWare.Win32.TrojanDropper.Agent.alur

DrWeb        4.44.0.09170        2009.04.27        -

eSafe        7.0.17.0        2009.04.27        Suspicious File

eTrust-Vet        31.6.6478        2009.04.27        -

F-Prot        4.4.4.56        2009.04.27        -

F-Secure        8.0.14470.0        2009.04.27        Trojan-Dropper.Win32.Agent.alur

Fortinet        3.117.0.0        2009.04.27        W32/Agent.ALUR!tr

GData        19        2009.04.27        MemScan:Trojan.Agent.AMQK

Ikarus        T3.1.1.49.0        2009.04.27        Trojan-Dropper.Agent

K7AntiVirus        7.10.717        2009.04.27        -

Kaspersky        7.0.0.125        2009.04.27        Trojan-Dropper.Win32.Agent.alur

McAfee        5598        2009.04.27        -

McAfee+Artemis        5598        2009.04.27        Generic!Artemis

McAfee-GW-Edition        6.7.6        2009.04.27        Trojan.Dropper.Drop.Agent.alur.2

Microsoft        1.4602        2009.04.27        -

NOD32        4037        2009.04.27        -

Norman        6.00.06        2009.04.27        W32/Agent.MHRQ.dropper

nProtect        2009.1.8.0        2009.04.27        -

Panda        10.0.0.14        2009.04.27        Trj/CI.A

PCTools        4.4.2.0        2009.04.27        -

Prevx1        3.0        2009.04.27        High Risk Worm

Rising        21.27.02.00        2009.04.27        -

Sophos        4.41.0        2009.04.27        -

Sunbelt        3.2.1858.2        2009.04.24        -

Symantec        1.4.4.12        2009.04.27        -

TheHacker        6.3.4.1.315        2009.04.27        -

TrendMicro        8.700.0.1004        2009.04.27        -

VBA32        3.12.10.3        2009.04.27        Trojan-Dropper.Win32.Agent.aluc

ViRobot        2009.4.27.1710        2009.04.27        -

VirusBuster        4.6.5.0        2009.04.27        -

weitere Informationen

File size: 82619 bytes

MD5...: e45ca9cd63206424083647bc3a26bb5e

SHA1..: b8ddf8bd1832cd34a63462f387c95a0b375c8cdf

SHA256: 003cc3f42293f34a4bb13b069cbaa097bc5b6803c5ed9f2ec59da93d51e2eaac

SHA512: f4af73b66c3405d757036e918128c3f63264bfc80468c9407f11285e145db07e

04c53088cd2a23fd0949644699ef6ba79d4bee33d795e6e986677c6a6f05bb58

ssdeep: 1536:V5neEhlcTW5sk1jtf2XvWINndIcN6JZpk1BSKCV0nBZFqa1d/:3nj9jtfU+

INndIc0JZpF2BB1l

PEiD..: -

TrID..: File type identification

Win64 Executable Generic (59.6%)

Win32 Executable MS Visual C++ (generic) (26.2%)

Win32 Executable Generic (5.9%)

Win32 Dynamic Link Library (generic) (5.2%)

Generic Win/DOS Executable (1.3%)

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x645c

timedatestamp.....: 0x41107bc1 (Wed Aug 04 06:01:37 2004)

machinetype.......: 0x14c (I386)
 

( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x992c 0x9a00 6.57 17a6fbe18a834b6f3462304415675d36

.data 0xb000 0x1be4 0x400 4.25 99858e86526942a66950c7139f78a725

.rsrc 0xd000 0x9e23 0xa000 7.34 9b20e7565f57a0d0071e7b2ab03eb1c6
 

( 6 imports ) 

> ADVAPI32.dll: FreeSid, AllocateAndInitializeSid, EqualSid, GetTokenInformation, OpenProcessToken, AdjustTokenPrivileges, LookupPrivilegeValueA, RegCloseKey, RegDeleteValueA, RegOpenKeyExA, RegSetValueExA, RegQueryValueExA, RegCreateKeyExA, RegQueryInfoKeyA

> KERNEL32.dll: LocalFree, LocalAlloc, GetLastError, GetCurrentProcess, lstrlenA, GetModuleFileNameA, GetSystemDirectoryA, _lclose, _llseek, _lopen, WritePrivateProfileStringA, GetWindowsDirectoryA, CreateDirectoryA, GetFileAttributesA, ExpandEnvironmentStringsA, lstrcpyA, GlobalFree, GlobalUnlock, GlobalLock, GlobalAlloc, IsDBCSLeadByte, GetShortPathNameA, GetPrivateProfileStringA, GetPrivateProfileIntA, lstrcmpiA, RemoveDirectoryA, FindClose, FindNextFileA, DeleteFileA, SetFileAttributesA, lstrcmpA, FindFirstFileA, FreeResource, GetProcAddress, LoadResource, SizeofResource, FindResourceA, lstrcatA, CloseHandle, WriteFile, SetFilePointer, SetFileTime, LocalFileTimeToFileTime, DosDateTimeToFileTime, SetCurrentDirectoryA, GetTempFileNameA, ExitProcess, CreateFileA, LoadLibraryExA, lstrcpynA, GetVolumeInformationA, FormatMessageA, GetCurrentDirectoryA, GetVersionExA, GetExitCodeProcess, WaitForSingleObject, CreateProcessA, GetTempPathA, GetSystemInfo, CreateMutexA, SetEvent, CreateEventA, CreateThread, ResetEvent, TerminateThread, GetDriveTypeA, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, ReadFile, LoadLibraryA, GetDiskFreeSpaceA, MulDiv, EnumResourceLanguagesA, FreeLibrary, LockResource

> GDI32.dll: GetDeviceCaps

> USER32.dll: ExitWindowsEx, wsprintfA, CharNextA, CharUpperA, CharPrevA, SetWindowLongA, GetWindowLongA, CallWindowProcA, DispatchMessageA, MsgWaitForMultipleObjects, PeekMessageA, SendMessageA, SetWindowPos, ReleaseDC, GetDC, GetWindowRect, SendDlgItemMessageA, GetDlgItem, SetForegroundWindow, SetWindowTextA, MessageBoxA, DialogBoxIndirectParamA, ShowWindow, EnableWindow, GetDlgItemTextA, EndDialog, GetDesktopWindow, MessageBeep, SetDlgItemTextA, LoadStringA, GetSystemMetrics

> COMCTL32.dll: -

> VERSION.dll: GetFileVersionInfoA, VerQueryValueA, GetFileVersionInfoSizeA
 

( 0 exports ) 

PDFiD.: -

RDS...: NSRL Reference Data Set

-

ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=e45ca9cd63206424083647bc3a26bb5e' target='_blank'>http://www.threatexpert.com/report.aspx?md5=e45ca9cd63206424083647bc3a26bb5e</a>

packers (F-Prot): CAB

Welch eine Überraschung! :)

Code:

Datei GODFATHER2.EXE empfangen 2009.04.27 21:27:19 (CET)

Status:    Beendet 

Ergebnis: 29/40 (72.5%) 

 Filter 

Drucken der Ergebnisse  Antivirus        Version        letzte aktualisierung        Ergebnis

a-squared        4.0.0.101        2009.04.27        -

AhnLab-V3        5.0.0.2        2009.04.27        -

AntiVir        7.9.0.156        2009.04.27        W32/Virut.Gen

Antiy-AVL        2.0.3.1        2009.04.27        -

Authentium        5.1.2.4        2009.04.27        W32/Virut.AI!Generic

Avast        4.8.1335.0        2009.04.27        Win32:Trojan-gen {Other}

AVG        8.5.0.287        2009.04.27        Win32/Virut

BitDefender        7.2        2009.04.27        Win32.Virtob.Gen.12

CAT-QuickHeal        10.00        2009.04.27        W32.Virut.G

ClamAV        0.94.1        2009.04.27        -

Comodo        1138        2009.04.27        -

DrWeb        4.44.0.09170        2009.04.27        Win32.Virut.56

eSafe        7.0.17.0        2009.04.27        Suspicious File

eTrust-Vet        31.6.6478        2009.04.27        Win32/Virut.17408

F-Prot        4.4.4.56        2009.04.27        W32/Virut.AI!Generic

F-Secure        8.0.14470.0        2009.04.27        Trojan-Dropper.Win32.Agent.alur

Fortinet        3.117.0.0        2009.04.27        W32/Virut.CE

GData        19        2009.04.27        Win32.Virtob.Gen.12

Ikarus        T3.1.1.49.0        2009.04.27        -

K7AntiVirus        7.10.717        2009.04.27        -

Kaspersky        7.0.0.125        2009.04.27        Virus.Win32.Virut.ce

McAfee        5598        2009.04.27        W32/Virut.n.gen

McAfee+Artemis        5598        2009.04.27        W32/Virut.n.gen

McAfee-GW-Edition        6.7.6        2009.04.27        Win32.Virut.Gen

Microsoft        1.4602        2009.04.27        Virus:Win32/Virut.BM

NOD32        4037        2009.04.27        Win32/Virut.NBP

Norman        6.00.06        2009.04.27        -

nProtect        2009.1.8.0        2009.04.27        -

Panda        10.0.0.14        2009.04.27        -

PCTools        4.4.2.0        2009.04.27        -

Prevx1        3.0        2009.04.27        High Risk Worm

Rising        21.27.02.00        2009.04.27        Win32.Virut.bm

Sophos        4.41.0        2009.04.27        W32/Scribble-B

Sunbelt        3.2.1858.2        2009.04.24        Virus.Win32.Virut.ce (v)

Symantec        1.4.4.12        2009.04.27        W32.Virut.CF

TheHacker        6.3.4.1.315        2009.04.27        W32/Virut.gen2

TrendMicro        8.700.0.1004        2009.04.27        PE_VIRUX.F-1

VBA32        3.12.10.3        2009.04.27        Trojan-Dropper.Win32.Agent.aluc

ViRobot        2009.4.27.1710        2009.04.27        Win32.Virut.AL

VirusBuster        4.6.5.0        2009.04.27        Win32.Virut.Y.Gen

weitere Informationen

File size: 10589798 bytes

MD5...: 5680b0cb886b30258ecd8bd2dbf8971e

SHA1..: 8666fa99bc93c7b99c603c923a84f680161ee156

SHA256: b904bbbd1bee1e94b9b596007ebf624c33cd2d332ef831bb8f7d66e29e87241c

SHA512: c0238259db1dcc606b59ae3eab2ed0828494bda5e642b2bfc7029150788bdbe5

9fdd62ce2d297d0879729dce52768b587ddbf6f73bad880f753ee75d1f892df1

ssdeep: 196608:8Q0Z1p9pU/L/mb/waC3IvBnGXfYUKQ80KNHSAAhnuyiCe:6yD/nOBnGXg

a0HSN3iCe

PEiD..: -

TrID..: File type identification

Generic Win/DOS Executable (49.9%)

DOS Executable Generic (49.8%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x645c

timedatestamp.....: 0x41107bc1 (Wed Aug 04 06:01:37 2004)

machinetype.......: 0x14c (I386)
 

( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x992c 0x9a00 6.57 2682fafabd93c3e4f999854302e5842d

.data 0xb000 0x1be4 0x400 4.25 99858e86526942a66950c7139f78a725

.rsrc 0xd000 0xa10a00 0xa0f400 8.00 bf3c89ddebda2a46bf717eeac9eab9ff
 

( 6 imports ) 

> ADVAPI32.dll: FreeSid, AllocateAndInitializeSid, EqualSid, GetTokenInformation, OpenProcessToken, AdjustTokenPrivileges, LookupPrivilegeValueA, RegCloseKey, RegDeleteValueA, RegOpenKeyExA, RegSetValueExA, RegQueryValueExA, RegCreateKeyExA, RegQueryInfoKeyA

> KERNEL32.dll: LocalFree, LocalAlloc, GetLastError, GetCurrentProcess, lstrlenA, GetModuleFileNameA, GetSystemDirectoryA, _lclose, _llseek, _lopen, WritePrivateProfileStringA, GetWindowsDirectoryA, CreateDirectoryA, GetFileAttributesA, ExpandEnvironmentStringsA, lstrcpyA, GlobalFree, GlobalUnlock, GlobalLock, GlobalAlloc, IsDBCSLeadByte, GetShortPathNameA, GetPrivateProfileStringA, GetPrivateProfileIntA, lstrcmpiA, RemoveDirectoryA, FindClose, FindNextFileA, DeleteFileA, SetFileAttributesA, lstrcmpA, FindFirstFileA, FreeResource, GetProcAddress, LoadResource, SizeofResource, FindResourceA, lstrcatA, CloseHandle, WriteFile, SetFilePointer, SetFileTime, LocalFileTimeToFileTime, DosDateTimeToFileTime, SetCurrentDirectoryA, GetTempFileNameA, ExitProcess, CreateFileA, LoadLibraryExA, lstrcpynA, GetVolumeInformationA, FormatMessageA, GetCurrentDirectoryA, GetVersionExA, GetExitCodeProcess, WaitForSingleObject, CreateProcessA, GetTempPathA, GetSystemInfo, CreateMutexA, SetEvent, CreateEventA, CreateThread, ResetEvent, TerminateThread, GetDriveTypeA, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, ReadFile, LoadLibraryA, GetDiskFreeSpaceA, MulDiv, EnumResourceLanguagesA, FreeLibrary, LockResource

> GDI32.dll: GetDeviceCaps

> USER32.dll: ExitWindowsEx, wsprintfA, CharNextA, CharUpperA, CharPrevA, SetWindowLongA, GetWindowLongA, CallWindowProcA, DispatchMessageA, MsgWaitForMultipleObjects, PeekMessageA, SendMessageA, SetWindowPos, ReleaseDC, GetDC, GetWindowRect, SendDlgItemMessageA, GetDlgItem, SetForegroundWindow, SetWindowTextA, MessageBoxA, DialogBoxIndirectParamA, ShowWindow, EnableWindow, GetDlgItemTextA, EndDialog, GetDesktopWindow, MessageBeep, SetDlgItemTextA, LoadStringA, GetSystemMetrics

> COMCTL32.dll: -

> VERSION.dll: GetFileVersionInfoA, VerQueryValueA, GetFileVersionInfoSizeA
 

( 0 exports ) 

PDFiD.: -

RDS...: NSRL Reference Data Set

Also damit habe ich nun gar nicht gerechnet *lüg*. Solltest du ausser geklauter Software noch irgendetwas sinnvolles auf der Platte haben, dann suche doch mal nach Knoppix, egal ob hier auf dem Board oder bei Tante Gu.

Du kannst heilfroh sein, dass du nicht auf den Ordner zugreifen kannst, denn wenn du auch nur eines deiner verseuchten Programme oder Archive versuchst zu retten, dann geht es deiner zweiten Festplatte bald genauso.

Code:

Der Suchlauf wurde vollständig durchgeführt.
 

   5745 Verzeichnisse wurden überprüft

 291378 Dateien wurden geprüft

   1671 Viren bzw. unerwünschte Programme wurden gefunden

      1 Dateien wurden als verdächtig eingestuft

      0 Dateien wurden gelöscht

      0 Viren bzw. unerwünschte Programme wurden repariert

   1672 Dateien wurden in die Quarantäne verschoben

      0 Dateien wurden umbenannt

      6 Dateien konnten nicht durchsucht werden

 289700 Dateien ohne Befall

   3098 Archive wurden durchsucht

      6 Warnungen

   1672 Hinweise