Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Virenfund in der sdsetup.exe von "Spyware Doctor" Backdoor.Win32.Hupigon.dcvh

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 08.08.2008, 20:46   #1
charlie chaplin
 
Virenfund in der sdsetup.exe von "Spyware Doctor" Backdoor.Win32.Hupigon.dcvh - Standard

Virenfund in der sdsetup.exe von "Spyware Doctor" Backdoor.Win32.Hupigon.dcvh



Hallo Leute,
wie kann es sein daß in der Installations Datei von Spyware Doctor (sdsetup.exe, 12,9 MB) die ich aus dem Internet von h**p://www.pctools.com/mirror/sdsetup.exe
heruntergaladen habe sich ein Virus

VirusBackdoor.Win32.Hupigon.dcvh

in "file286" befinden kann, wer kann helfen, wie gefährlich ist der Virus.


Win xp home sp2

Virenprüfung mit G DATA AntiVirus
Version 18.6.8106.727
Virensignaturen vom 05.08.2008
Startzeit: 06.08.2008 16:46
Engine(s): Engine A (AVK 18.4791), Engine B (AVKB 18.377)
Heuristik: Ein
Archive: Ein
Systembereiche: Ein

Prüfung der Systembereiche...
Prüfung aller lokalen Festplatten...
Objekt: file286
In Archiv: C:\Dokumente und Einstellungen\NTT...\Eigene Dateien\mininetmon\sdsetup.exe
Status: Virus gefunden
Virus: Backdoor.Win32.Hupigon.dcvh (Engine A)
Objekt: sdsetup.exe
Pfad: C:\Dokumente und Einstellungen\NTT..\Eigene Dateien\mininetmon
Status: Datei in Quarantäne verschoben
Virus: Backdoor.Win32.Hupigon.dcvh (Engine A)

Alt 08.08.2008, 22:02   #2
TR-Vundo
 
Virenfund in der sdsetup.exe von "Spyware Doctor" Backdoor.Win32.Hupigon.dcvh - Standard

Virenfund in der sdsetup.exe von "Spyware Doctor" Backdoor.Win32.Hupigon.dcvh



Ich würde dir empfehlen, auf nummer sicher zu gehen und die Datei zu löschen. Wie du sihst handelt es (wenn überhaupt) sich um ein Hintertürprogramm. Man sollte damit rechnen, dass es Daten stihlt und weitere Schadsoftware ruterläd.
__________________


Alt 09.08.2008, 15:48   #3
charlie chaplin
 
Virenfund in der sdsetup.exe von "Spyware Doctor" Backdoor.Win32.Hupigon.dcvh - Standard

Virenfund in der sdsetup.exe von "Spyware Doctor" Backdoor.Win32.Hupigon.dcvh



Zitat:
Zitat von TR-Vundo Beitrag anzeigen
Ich würde dir empfehlen, auf nummer sicher zu gehen und die Datei zu löschen. Wie du sihst handelt es (wenn überhaupt) sich um ein Hintertürprogramm. Man sollte damit rechnen, dass es Daten stihlt und weitere Schadsoftware ruterläd.
Kann denn der Virus von der Internetseite sein schon beim download vorhandengewesen sein (Spoofing...)
h**p://www.pctools.com/mirror/sdsetup.exe
oder wurde die Datei sdetup.exe erst nach dem download mit einem Virus infiziert. Wie kann ich das feststellen.
Was für logs brauchst du dafür.


Gruß

charlie
__________________

Alt 10.08.2008, 02:16   #4
KarlKarl
/// Helfer-Team
 
Virenfund in der sdsetup.exe von "Spyware Doctor" Backdoor.Win32.Hupigon.dcvh - Standard

Virenfund in der sdsetup.exe von "Spyware Doctor" Backdoor.Win32.Hupigon.dcvh



Hi,

12,9 MByte, das ist mehr als Virustotal und ähnliche Dienste normalerweise als Dateigröße akzeptieren. Vielleicht kommt ja mal jemand vorbei, der GDATA nutzt und mit einer schnellen Verbindung die Datei mal eben laden kann für einen Scan.

Ich hab sie gerade geladen und Antivir hat jedenfalls kein Problem mit ihr, schafft es allerdings nicht das InnoSetup zu entpacken, zeigt daher an, dass nur eine Datei gescannt wurde. Aber auch beim manuellen entpacken gibt es keinen Alarm. Zum Vergleich hier noch die Ausgabe von Sigcheck:
Code:
ATTFilter
C:\Dokumente und Einstellungen\KARL\Desktop>sigcheck.exe -h sdsetup.exe

Sigcheck v1.52
Copyright (C) 2004-2008 Mark Russinovich
Sysinternals - www.sysinternals.com

C:\Dokumente und Einstellungen\KARL\Desktop\sdsetup.exe:
        Verified:       Signed
        Signing date:   21:17 06.08.2008
        Publisher:      PC Tools

        Description:    Spyware Doctor Setup

        Product:        n/a
        Version:        n/a
        File version:   6.0.0.362
        MD5:    fed735c7bec1b1d494b5f0cc9e85d0ce
        SHA1:   5f1e37db0e7776a14b4630e6441e5abc0567ddc7

C:\Dokumente und Einstellungen\KARL\Desktop>
         
Entpackt sind das fast 300 Dateien und ich kann nicht genau nachvollziehen, was file286 ist, schon alleine, weil man nie weiß, ob die Zählung mit 0 oder mit 1 anfängt. Die Nummer 287 nach meiner Zählung ist "{app}\klg.dat", die ergibt bei Virustotal:

Zitat:
Datei klg.dat empfangen 2008.08.10 01:26:53 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.9.0 2008.08.08 -
AntiVir 7.8.1.19 2008.08.09 -
Authentium 5.1.0.4 2008.08.09 -
Avast 4.8.1195.0 2008.08.09 -
AVG 8.0.0.156 2008.08.09 BackDoor.Hupigon4.ZSN
BitDefender 7.2 2008.08.10 -
CAT-QuickHeal 9.50 2008.08.08 -
ClamAV 0.93.1 2008.08.09 -
DrWeb 4.44.0.09170 2008.08.09 -
eSafe 7.0.17.0 2008.08.07 -
eTrust-Vet 31.6.6021 2008.08.08 -
Ewido 4.0 2008.08.09 -
F-Prot 4.4.4.56 2008.08.08 -
F-Secure 7.60.13501.0 2008.08.09 -
Fortinet 3.14.0.0 2008.08.09 -
GData 2.0.7306.1023 2008.08.10 -
Ikarus T3.1.1.34.0 2008.08.09 -
K7AntiVirus 7.10.408 2008.08.09 -
Kaspersky 7.0.0.125 2008.08.10 -
McAfee 5357 2008.08.08 -
Microsoft 1.3807 2008.08.09 -
NOD32v2 3342 2008.08.09 -
Norman 5.80.02 2008.08.08 W32/Hupigon.DTJT
Panda 9.0.0.4 2008.08.09 -
PCTools 4.4.2.0 2008.08.09 -
Prevx1 V2 2008.08.10 -
Rising 20.56.41.00 2008.08.08 -
Sophos 4.32.0 2008.08.09 -
Sunbelt 3.1.1538.1 2008.08.09 -
Symantec 10 2008.08.10 -
TheHacker 6.2.96.395 2008.08.08 -
TrendMicro 8.700.0.1004 2008.08.08 -
VBA32 3.12.8.3 2008.08.09 -
ViRobot 2008.8.8.1329 2008.08.08 -
VirusBuster 4.5.11.0 2008.08.09 -
Webwasher-Gateway 6.6.2 2008.08.09 -
weitere Informationen
File size: 100864 bytes
MD5...: ae88cfd831422d8fd7e3e6ae30011569
SHA1..: b7be676722e631841c945c8ea76764f2502ac992
SHA256: 708b82e6ef2913a9c7780a894e67e2465fdc3b216d0fbbb57d3887816ebd9040
SHA512: 08b5b852dda639a62817a0c2c4d3ff442abd967bb1452b553885fe640f9390ff<br>63253fb170fd8e47c77776c0ec0dc5b5e88ad35d957440d6a152a5380e69611b
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x5a015114<br>timedatestamp.....: 0x48435b23 (Mon Jun 02 02:29:55 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 7 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x13d5c 0x13e00 6.56 bc05a0a2f1ae8479e87e545b5b91c73c<br>.itext 0x15000 0x1a8 0x200 5.42 f7a54492012b297851e803a7d7722fb2<br>.data 0x16000 0x13c8 0x1400 3.95 abd4f342b01537bb0388fdd975475ad5<br>.bss 0x18000 0x2abc 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>.idata 0x1b000 0xbfa 0xc00 4.94 05dbd046f97d76eec6c005e020149baa<br>.reloc 0x1c000 0xd84 0xe00 6.62 33e0ed9fc2d481affd3c735f0c3a7f55<br>.rsrc 0x1d000 0x1800 0x1800 3.52 23fa84b60f0e32df9d36925f33c59b17<br><br>( 9 imports ) <br>&gt; oleaut32.dll: SysFreeString, SysReAllocStringLen<br>&gt; advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey<br>&gt; user32.dll: GetKeyboardType, DestroyWindow, MessageBoxA<br>&gt; kernel32.dll: GetACP, Sleep, VirtualFree, VirtualAlloc, GetCurrentThreadId, VirtualQuery, GetStartupInfoA, GetCommandLineA, FreeLibrary, ExitProcess, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle<br>&gt; kernel32.dll: TlsSetValue, TlsGetValue, TlsFree, TlsAlloc, LocalFree, LocalAlloc<br>&gt; user32.dll: TranslateMessage, PeekMessageA, MsgWaitForMultipleObjects, GetSystemMetrics, DispatchMessageA<br>&gt; kernel32.dll: lstrlenW, lstrcpyW, lstrcmpA, WriteFile, WaitForSingleObject, WaitForMultipleObjects, VirtualQuery, VirtualProtect, VirtualFree, VirtualAlloc, UnmapViewOfFile, Sleep, SetThreadPriority, SetLastError, SetEvent, ReleaseMutex, OpenProcess, OpenMutexW, OpenMutexA, OpenFileMappingW, OpenFileMappingA, OpenEventW, OpenEventA, MapViewOfFile, LocalFree, LocalAlloc, LoadLibraryExA, LoadLibraryW, LoadLibraryA, LeaveCriticalSection, IsBadReadPtr, InitializeCriticalSection, GetVersionExW, GetVersionExA, GetVersion, GetThreadContext, GetProcAddress, GetModuleHandleW, GetModuleHandleA, GetModuleFileNameW, GetModuleFileNameA, GetLastError, GetCurrentThreadId, GetCurrentThread, GetCurrentProcessId, GetCurrentProcess, FreeLibrary, FormatMessageA, ExitProcess, EnterCriticalSection, DuplicateHandle, DeleteCriticalSection, CreateMutexW, CreateMutexA, CreateFileMappingW, CreateFileMappingA, CreateFileW, CreateFileA, CreateEventW, CreateEventA, CloseHandle<br>&gt; advapi32.dll: SetSecurityDescriptorDacl, OpenProcessToken, LookupPrivilegeValueA, InitializeSecurityDescriptor, GetTokenInformation, GetLengthSid, FreeSid, AllocateAndInitializeSid, AdjustTokenPrivileges<br>&gt; advapi32.dll: GetKernelObjectSecurity<br><br>( 0 exports ) <br>
Google
Google

Gruß, Karl

Alt 10.08.2008, 06:55   #5
hexapoda
 
Virenfund in der sdsetup.exe von "Spyware Doctor" Backdoor.Win32.Hupigon.dcvh - Standard

Virenfund in der sdsetup.exe von "Spyware Doctor" Backdoor.Win32.Hupigon.dcvh



Datei geladen, mit der aktuellen Version und frischen Virensignatur-Daten von G-Data Antivir gescannt, keine Meldung über Funde. HTH!


Alt 10.08.2008, 08:57   #6
charlie chaplin
 
Virenfund in der sdsetup.exe von "Spyware Doctor" Backdoor.Win32.Hupigon.dcvh - Standard

Virenfund in der sdsetup.exe von "Spyware Doctor" Backdoor.Win32.Hupigon.dcvh



Zitat:
Zitat von KarlKarl Beitrag anzeigen
Hi,


Ich hab sie gerade geladen und Antivir hat jedenfalls kein Problem mit ihr, schafft es allerdings nicht das InnoSetup zu entpacken, zeigt daher an, dass nur eine Datei gescannt wurde. Aber auch beim manuellen entpacken gibt es keinen Alarm. Zum Vergleich hier noch die Ausgabe von Sigcheck:
Code:
ATTFilter
C:\Dokumente und Einstellungen\KARL\Desktop>sigcheck.exe -h sdsetup.exe

Sigcheck v1.52
Copyright (C) 2004-2008 Mark Russinovich
Sysinternals - www.sysinternals.com

C:\Dokumente und Einstellungen\KARL\Desktop\sdsetup.exe:
        Verified:       Signed
        Signing date:   21:17 06.08.2008
        Publisher:      PC Tools

        Description:    Spyware Doctor Setup

        Product:        n/a
        Version:        n/a
        File version:   6.0.0.362
        MD5:    fed735c7bec1b1d494b5f0cc9e85d0ce
        SHA1:   5f1e37db0e7776a14b4630e6441e5abc0567ddc7

C:\Dokumente und Einstellungen\KARL\Desktop>
         
Entpackt sind das fast 300 Dateien und ich kann nicht genau nachvollziehen, was file286 ist, schon alleine, weil man nie weiß, ob die Zählung mit 0 oder mit 1 anfängt. Die Nummer 287 nach meiner Zählung ist "{app}\klg.dat", die ergibt bei Virustotal:


Google
Google

Gruß, Karl

Hab mir eben noch mal die Gdata Protokolle angesehen und eine hinweis auf die klg.dat gefunden

-------------------------------------
Beim Öffnen der Datei "C:\Programme\Spyware Doctor\klg.dat" wurde der Virus "Backdoor.Win32.Hupigon.dcvh" von der Engine "Engine A" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: nein.
------------------------------------

Nach den Google links handelt es sich wohl um eine Falschpositiven Virenfund.
Zum anderen soll es auf der Internetseite von Pctools

h**p://www.pctools.com/de/spyware-doctor/?ref=google_de&gclid=CIWghpTXgpUCFQ6S1QodEihpqA

ein neue Dateiversion vom 07.08.2008 geben.
Liegt es jetzt am Virenscanner oder an der sdsetup.exe von Pctools

gruss charlie

Alt 10.08.2008, 19:43   #7
KarlKarl
/// Helfer-Team
 
Virenfund in der sdsetup.exe von "Spyware Doctor" Backdoor.Win32.Hupigon.dcvh - Standard

Virenfund in der sdsetup.exe von "Spyware Doctor" Backdoor.Win32.Hupigon.dcvh



Na so dazwischen. Zum einen hat Pctools bei der Programmierung (die klg.dat ist eine umbenannte EXE-Datei) einfach ein Muster getroffen, dass der Virenscanner für den Hupigon hält. Zum anderen hat der Virenscanner kein Muster in seinen Erkennungen, dass die klg.dat von der Erkennung ausnimmt.

Dass die Falscherkennungen zunehmen werden, da gehe ich stark davon aus. Die Flut der neuen Malware wächst immer schneller an, die Scannerhersteller hecheln mit letzter Kraft hinterher. Schicks halt ein, vielleicht haben sie Zeit das zu korrigieren.

Antwort

Themen zu Virenfund in der sdsetup.exe von "Spyware Doctor" Backdoor.Win32.Hupigon.dcvh
befinden, data, datei, dateien, dokumente, einstellungen, festplatte, file, fund, g data, gefährlich, gen, home, interne, internet, leute, lokale, platte, prüfung, quara, quarantäne, signaturen, spyware, spyware doctor, virenfund, xp home



Ähnliche Themen: Virenfund in der sdsetup.exe von "Spyware Doctor" Backdoor.Win32.Hupigon.dcvh


  1. Windows7 Spyware infekt, komplette Traffic Umleitung, versteckte images und eventueller hardwaregestützter "Backdoor"
    Log-Analyse und Auswertung - 17.12.2013 (23)
  2. "Licensevalidator.exe" u.A.: ESET meldet "Win32/Kryptik.ADPW trojan" sowie "Win32/Gataka.A trojan"
    Log-Analyse und Auswertung - 12.04.2012 (21)
  3. Malwarereinigung: "TR/Kazy.25747.40", "Trojan.Downloader..." und "Backdoor: Win32Cycbot.B"
    Log-Analyse und Auswertung - 09.06.2011 (1)
  4. Trojaner(?) - "Backdoor:Win32/Cycbot.B" fund durch Windows Defender
    Plagegeister aller Art und deren Bekämpfung - 19.03.2011 (23)
  5. Virusbefall durch " Backdoor:Win32/Cycbot.B ",kann ihn nicht beseitigen
    Plagegeister aller Art und deren Bekämpfung - 11.12.2010 (1)
  6. Anwendungen stürzen ab bei Eingabe von "Spyware Doctor"
    Plagegeister aller Art und deren Bekämpfung - 08.02.2010 (1)
  7. Trojaner "Backdoor.Bifrose" ,Fund durch "Spyware Doctor"
    Plagegeister aller Art und deren Bekämpfung - 27.01.2010 (9)
  8. "Backdoor.Win32.Bifrose.aej" wurde bei WoW erkannt!
    Mülltonne - 19.11.2008 (0)
  9. Virus gefunden: "Backdoor.Win32.RemoteHack.15.c". Ist alles trotzdem ok?
    Log-Analyse und Auswertung - 10.10.2008 (11)
  10. Virus gefunden: "Backdoor.Win32.RemoteHack.15.c". Ist alle trotzdem ok?
    Mülltonne - 09.10.2008 (0)
  11. Trojaner eingefangen "Backdoor.Win32.Turkojan.jv"
    Log-Analyse und Auswertung - 30.06.2008 (3)
  12. "error cleaner" "privacy protector" "spyware&malware protection"
    Plagegeister aller Art und deren Bekämpfung - 28.06.2008 (7)
  13. "error cleaner" "privacy protector" "spyware und malware protection"
    Plagegeister aller Art und deren Bekämpfung - 28.06.2008 (2)
  14. Das Thema "Spyware Doctor"
    Antiviren-, Firewall- und andere Schutzprogramme - 26.10.2007 (2)
  15. Backdoor:Win32.Hupigon
    Plagegeister aller Art und deren Bekämpfung - 04.04.2007 (5)
  16. Backdoor.Win32.Hupigon.cvx entfernen??
    Plagegeister aller Art und deren Bekämpfung - 06.11.2006 (1)
  17. Kann mir jemand bei "Backdoor.Win32.SdBot.agt" weiter helfen???
    Plagegeister aller Art und deren Bekämpfung - 17.10.2005 (1)

Zum Thema Virenfund in der sdsetup.exe von "Spyware Doctor" Backdoor.Win32.Hupigon.dcvh - Hallo Leute, wie kann es sein daß in der Installations Datei von Spyware Doctor (sdsetup.exe, 12,9 MB) die ich aus dem Internet von h**p://www.pctools.com/mirror/sdsetup.exe heruntergaladen habe sich ein Virus VirusBackdoor.Win32.Hupigon.dcvh - Virenfund in der sdsetup.exe von "Spyware Doctor" Backdoor.Win32.Hupigon.dcvh...
Archiv
Du betrachtest: Virenfund in der sdsetup.exe von "Spyware Doctor" Backdoor.Win32.Hupigon.dcvh auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.