Trojaner-Board - Eine Kontrolle meines Notebooks wegen einem exe. Programm

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Eine Kontrolle meines Notebooks wegen einem exe. Programm (https://www.trojaner-board.de/82649-kontrolle-meines-notebooks-wegen-exe-programm.html)

Eine Kontrolle meines Notebooks wegen einem exe. Programm

Hallo zusammen. Ich möchte euch um Hilfe bitten. Ich habe von einem aus dem Internet ein exe Programm bekommen. Dieser eine schickt per internet über einen server die erlaubnis oder eine sogenante Validation, das ich das programm nutzen darf.
Nun mach ich mir sorgen ob da vielleicht was drin stecken könnte. Das programm wurde mit Visual basic erstellt und ich hab in youtube gesehen, das man damit auch dreckige sachen programmieren kann. andersrum ist das programm wichtig für mich, weil es mir bei der arbeit zum automatischen aktialisieren der website hilft usw...
Kann man mit einem antivir oder trojan programm rausfinden ob eine exe datei trojaner enthält? Ich hab irgendwie das gefühl das der typ die websiten die ich in der .exe datei ausführe auslesen kann. Lässt sich das irgendwie nachweisen?

Ich hab ein log mit HijackThis gemacht:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:36:08, on 05.02.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVG\AVG9\avgchsvx.exe
C:\Programme\AVG\AVG9\avgrsx.exe
C:\Programme\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG\AVG9\avgtray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AVG\AVG9\avgwdsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVG\AVG9\avgemc.exe
C:\Programme\AVG\AVG9\avgnsx.exe
C:\Programme\AVG\AVG9\avgcsrvx.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQ7.0\ICQ.exe
D:\esipil\Shoeses.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG9\avgssie.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG9\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - C:\Programme\AVG\AVG9\avgemc.exe
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Programme\AVG\AVG9\avgwdsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4210 bytes

Die sogenante exe datei ist:
D:\esipil\Shoeses.exe

ich kenn mich mit trojaner nicht aus, aber wenn es eine möglichkeit gibt sowas auszuspüren. Ich möchte nicht eine lösung, ich möchte nur versuchen irgendwie rauszukriegen ob die exe irgendetwas schlimmes macht bzw etwas von mir ausspioniert, dann würde ich sie sofort löschen.

Falls mir jemand weiterhelfen kann, nehme ich jeden tipp und trick mit dank an.:alc:

MFG

Hi,

wenn die Software neu ist (und ev. darin enthaltene Malware), dann gibt es erstmal keine "passende" Signatur. d. h. die Malware kann nur über heuristische Verfahren (die fehleranfällig sind) erkannt werden (vielleicht).

Du kannst die Datei bei Virustotal.com prüfen lassen (hochladen und scannen lassen). Weiterhin würde ich dir empfehlen, die SW in einer Sandbox laufen zu lassen (z.B. Sandboxie: http://www.sandboxie.com/). Damit wird verhindert dass sich ev. vorhandene Malware auf dem Rechner festsetzt. Über Tools kannst Du dann auch prüfen, was die SW so alles anstellt (z.B. welche RegKeys verändert werden, Files erstellt/geändert etc. werden)...

Da Du das Programm aber schon ausgeführt hast, bitte MAM installieren und scannen lassen:
Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Fullscan und alles bereinigen lassen! Log posten.

DAs HJ-Log gibt nicht so viel her...
chris

Hallo und danke für die antwort. Ich habe jetzt das MAM druchlaufen lassen:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3696
Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

06.02.2010 10:46:29
mbam-log-2010-02-06 (10-46-23).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 147729
Laufzeit: 35 minute(s), 4 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
D:\WebMoney\WebMoney.exe (Spyware.WebMoney) -> No action taken.

<<<<keine ahnung warum er bei webmoney etwas gefunden hat, auf jeden fall hab ich das reinigen lassen und nochmal einen vollständigen scan gemacht:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3696
Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

06.02.2010 12:22:12
mbam-log-2010-02-06 (12-22-12).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 147708
Laufzeit: 30 minute(s), 49 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

<<<<<sieht sauber aus :headbang:

Wollt noch hinzufügen das Sandboxie ein sehr gutes programm ist, würde ich jedem nutzer empfehlen :dankeschoen: