Hallo Zusammen,
Schön das es ein solches Forum gibt.
Mein Virenscanner Antivir hat die Meldung TR/Agent.16384.I ausgegeben.
Es wurde in einer Datei gefunden, welche ich ausgeführt habe
Allerdings hat Ihn mein alter Scanner nicht gefunden (Bitdefender)


Nun habe ich die Datei mal mit total Virus gescannt:
Datei register.exe empfangen 2008.01.29 01:04:40 (CET)
Status: Beendet
Ergebnis: 6/32 (18.75%)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.1.29.10 2008.01.28 Win-Trojan/Hupigon.2454528
AntiVir 7.6.0.56 2008.01.28 TR/Agent.16384.I
Authentium 4.93.8 2008.01.26 -
Avast 4.7.1098.0 2008.01.28 -
AVG 7.5.0.516 2008.01.28 Generic5.NWD
BitDefender 7.2 2008.01.28 -
CAT-QuickHeal 9.00 2008.01.28 -
ClamAV 0.91.2 2008.01.28 -
DrWeb 4.44.0.09170 2008.01.28 -
eSafe 7.0.15.0 2008.01.28 -
eTrust-Vet 31.3.5493 2008.01.28 -
Ewido 4.0 2008.01.29 -
FileAdvisor 1 2008.01.29 High threat detected
Fortinet 3.14.0.0 2008.01.29 -
F-Prot 4.4.2.54 2008.01.28 W32/Patcher.A
F-Secure 6.70.13260.0 2008.01.29 -
Ikarus T3.1.1.20 2008.01.28 -
Kaspersky 7.0.0.125 2008.01.29 -
McAfee 5217 2008.01.28 -
Microsoft 1.3109 2008.01.28 -
NOD32v2 2829 2008.01.28 -
Norman 5.80.02 2008.01.28 -
Panda 9.0.0.4 2008.01.28 -
Prevx1 V2 2008.01.29 -
Rising 20.29.01.00 2008.01.28 -
Sophos 4.25.0 2008.01.28 -
Sunbelt 2.2.907.0 2008.01.25 -
Symantec 10 2008.01.29 -
TheHacker 6.2.9.201 2008.01.28 -
VBA32 3.12.2.5 2008.01.21 -
VirusBuster 4.3.26:9 2008.01.28 -
Webwasher-Gateway 6.6.2 2008.01.28 Trojan.Agent.16384.I
weitere Informationen
File size: 16384 bytes
MD5: b12ad5cb14e2fd742a9abfb3f30356cc
SHA1: adb00c8ce70c78fd5e525a5d8d4a858402080d3b
PEiD: -
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=b12ad5cb14e2fd742a9abfb3f30356cc


Kann mir jemand sagen welches Schadenspotenzial der Trojaner/Virus hat?
Ich lebe damit schon (unbemerkt) ein halbes Jahr und habe nichts bemerkt, keine Veränderung des Systemverhaltens.
Die exe welche den Trojaner enthält, besitze ich noch zur Analyse.
Ein Neuaufsetzen des Systems möchte ich nur im Ausnahmefall machen.
Ich habe keine Informationen zu den genannten Trojanern bzw. Vieren im Internet erhalten.
Ist vielleicht auch ein Fehlalarm möglich.
Zugegeben ist die Quelle der Datei nicht ganz koscher.
Hat jemand Infos zu dem Trojaner-Virus?

Danke im Vorraus und viele Grüsse

Nochmal ich selber,
Leider habe ich keine editierfunktion gefunden.
Hier noch mal alle Funde von Virustotal:
Datei register.exe
Ergebnis: 6/32 (18.75%)
AhnLab-V3 2008.1.31.12 2008.01.31 Win-Trojan/Hupigon.2454528
AntiVir 7.6.0.59 2008.01.31 TR/Agent.16384.I
AVG 7.5.0.516 2008.01.30 Generic5.NWD
F-Prot 4.4.2.54 2008.01.30 W32/Patcher.A
Webwasher-Gateway 6.6.2 2008.01.31 Trojan.Agent.16384.I

und zweite Datei:
TagXXXXXX.exe (unkenntlich gemacht)
Ergebnis: 3/32 (9.38%)
F-Prot 4.4.2.54 2008.01.30 W32/Patched.A
F-Secure 6.70.13260.0 2008.01.31 Suspicious:W32/Malware!Gemini
ebwasher-Gateway 6.6.2 2008.01.31 Worm.Win32.Malware.gen!84 (suspicious)

Beide Dateien wurden auf dem Rechner ausgeführt (vor ca. 4 Monaten).
Die Dateien sind inzwischen entfernt.
Weder Spybot noch adaware noch Bitdefender noch avira finden etwas auf dem System bei einem Komplettscan ??
Eigentlich scheint das System sauber und hat auch keinerlei merkwürdiges Verhalten (hatte es aber nie).
Meine Frage:
Was hat nun die exe Datei, welche einen der genannten Trojaner enthält, bei der ausführung gemacht?
Werden Änderungen am System (z.B. Registry) von den Scannern erkannt oder nur der Trojaner in der Nutzprogramm.exe Datei??
Dann könnte man ja zig Veränderungen am System haben ohne das man diese je aufspürt, wenn die Nutzprogramm.exe (welche den Trojaner enthalten hat) wieder entfernt wurde.

Sorry für die Fragen aber ich versuche die Sache zu verstehen.

Für ein paar Antworten wäre ich dankbar.
Einfach das System platt machen (ohne Meldung) würde mir schwer fallen.

Viele Grüsse von mir

Hi,

die Bezechnung Patcher deutet an, dass er irgendwelchen anderen Code auf deinem System geändert haben könnte. Unter Hupigon laufen normalerweise Backdoorserver. Allerdings ist es etwas schwierig, aus den sehr wechselnden Namensgebungen der Scannerhersteller Informationen zu gewinnen.

Wenn Du genau wissen willst, was die Dateien machen können, musst Du dir ihr Innenleben ansehen oder sie auf genau überwachten Testsystemen ausfühen. Erfordert Zeit, Hardware, Software und eine Menge Kenntnisse über Maschinensprache, die Funktion von Programmen und Betriebssystemen. Kann eine interesante Beschäftigung sien, aber ich vermute mal, dass Du, wenn deine Interessen in diese Richtung gingen, hier nicht angefragt hättest. Falls Du ienen Anfang machen willst: Gib mal bei Google "ollydbg" ein. Ein Maschinensprachen-Debugger, der sich auch sehr gut für Programmanalysen eignet, und der Freeware ist. Es gibt andere Software, die ist aber teilweise sehr teuer und wird auch nicht an jedemann verkauft. Willkommen in der Welt der Bits und Bytes, auf dass dich deine Lieben in Zukunft nur noch an den roten viereckigen Augen erkennen mögen

Zitat:

Werden Änderungen am System (z.B. Registry) von den Scannern erkannt oder nur der Trojaner in der Nutzprogramm.exe Datei??
Dann könnte man ja zig Veränderungen am System haben ohne das man diese je aufspürt, wenn die Nutzprogramm.exe (welche den Trojaner enthalten hat) wieder entfernt wurde.

Die meisten Scanner scannen nur nach Dateien, einige schauen auch in die Registry, um z.B. Starteinträge zu finden. Aber kein Scanner kann alle möglichen Änderungen durch eine Malware rückgängig machen. Es gibt auch Fälle, in denen Systemdateien gepatcht werden, damit sie noch einen Nebeneffekt mehr haben. Um sich gegen due unzähligen solcher Möglichkeiten Sicherheit zu verschaffen, gibt es nur ein Mittel: Formatieren und neu installieren.

Gruß, Karl