Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Ist diese EXE verseucht?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 19.11.2008, 20:09   #1
mikaeyy
 
Ist diese EXE verseucht? - Standard

Ist diese EXE verseucht?



Nabend,
hab von einem 'Freund' ein Programm zugeschickt bekommen und bei Virustotal hochgeladen, mit folgendem Ergebnis:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.11.18.2 2008.11.19 -
AntiVir 7.9.0.34 2008.11.19 HEUR/Crypted
Authentium 5.1.0.4 2008.11.18 -
Avast 4.8.1281.0 2008.11.19 -
AVG 8.0.0.199 2008.11.19 Win32/PolyCrypt
BitDefender 7.2 2008.11.19 -
CAT-QuickHeal 10.00 2008.11.19 -
ClamAV 0.94.1 2008.11.19 -
DrWeb 4.44.0.09170 2008.11.19 -
eSafe 7.0.17.0 2008.11.19 -
eTrust-Vet 31.6.6217 2008.11.19 -
Ewido 4.0 2008.11.19 -
F-Prot 4.4.4.56 2008.11.18 -
F-Secure 8.0.14332.0 2008.11.19 -
Fortinet 3.117.0.0 2008.11.19 -
GData 19 2008.11.19 -
Ikarus T3.1.1.45.0 2008.11.19 -
K7AntiVirus 7.10.528 2008.11.19 -
Kaspersky 7.0.0.125 2008.11.19 -
McAfee 5439 2008.11.19 -
Microsoft 1.4104 2008.11.19 -
NOD32 3625 2008.11.19 -
Norman 5.80.02 2008.11.19 -
Panda 9.0.0.4 2008.11.19 -
PCTools 4.4.2.0 2008.11.19 -
Prevx1 V2 2008.11.19 -
Rising 21.04.22.00 2008.11.19 -
SecureWeb-Gateway 6.7.6 2008.11.19 Heuristic.Crypted
Sophos 4.35.0 2008.11.19 Sus/Compack-H
Sunbelt 3.1.1801.2 2008.11.14 Virus.Win32.Agent.AJ (vf)
Symantec 10 2008.11.19 -
TheHacker 6.3.1.1.158 2008.11.19 -
TrendMicro 8.700.0.1004 2008.11.19 -
VBA32 3.12.8.9 2008.11.19 -
ViRobot 2008.11.18.1474 2008.11.18 -
VirusBuster 4.5.11.0 2008.11.19 -
weitere Informationen
File size: 268024 bytes
MD5...: 179d5b7bd400440992b77a075c01b482
SHA1..: b9fcf6d241eb1acfd265177829e4390738691eec
SHA256: e5cab1174749f4ce6465f9affd34a2edf1d1d04b5ca998e0a094f688cca2a222
SHA512: ef1205c9df344c4db3df60e76656f5a898a1abf545b555d11f46ce40278dccf9
d44fb6a268cf431429afc94e5f8b576da7242aefb2aa9445f9124a046a90089f
PEiD..: -
TrID..: File type identification
Win32 EXE Yoda's Crypter (56.9%)
Win32 Executable Generic (18.2%)
Win32 Dynamic Link Library (generic) (16.2%)
Generic Win/DOS Executable (4.2%)
DOS Executable Generic (4.2%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x43a060
timedatestamp.....: 0x48f60368 (Wed Oct 15 14:51:20 2008)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x34000 0x11000 7.99 a088151bc3f8a12ffcfe2047c00ecce3
.rsrc 0x35000 0x2000 0x2000 4.20 70776b219d62f9063ebd6380bc2a540e
. 0x37000 0x1000 0x1000 5.96 e9983b60846ca69b17535b6d29bc3719
. 0x38000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.zhywx 0x39000 0xf3a 0x1000 5.44 50b1c8e6aa2745d441f836ae29448c8b
.exp 0x3a000 0x2000 0xcf7 5.32 20cc14d6a679feb7c32146874379bbca

( 1 imports )
> Kernel32.dll: LoadLibraryA, GetProcAddress

( 0 exports )
packers (Kaspersky): IDPsw


Ist die Exe eindeutig infiziert?

Alt 20.11.2008, 10:06   #2
Franz1968
/// Helfer-Team
 
Ist diese EXE verseucht? - Standard

Ist diese EXE verseucht?



Das Trojaner-Board lebt davon, dass User ein Programm auf ihrem Rechner installieren, nachdem ihr Virenscanner und/oder Virustotal grünes Licht gegeben hat. Trotzdem (?) ist plötzlich ihr Rechner infiziert.

Beantwortet das deine Frage?
__________________

__________________

Alt 20.11.2008, 10:17   #3
ka0t
 
Ist diese EXE verseucht? - Standard

Ist diese EXE verseucht?



Für solche netten Dinger habe ich ne virtuelle Maschine in der ich es dann ausführe. Wenn es da alles kaputtknabbert setze ich einfach einen Klon der virtuellen Maschine neu auf und lösche den infizierten :-D

Seit ich trotz paranoid eingestellter firewall trojan.bloodhound in meinem ff- Profil hatte und die Datein die ich installiert hatte nur von sites wie chip.de etc kamen und dann noch formatieren musste weil ich einem firepack auf den Leim gegangen bin surfe ich fast nur noch über meine virtuelle Maschine
__________________

Alt 20.11.2008, 10:20   #4
Leonidas88
 
Ist diese EXE verseucht? - Standard

Ist diese EXE verseucht?



Ich surf hauptsächlich mit Linux und Online Banking auch. Zum Spielen ist XP aber grade recht.

Alt 20.11.2008, 10:22   #5
Franz1968
/// Helfer-Team
 
Ist diese EXE verseucht? - Standard

Ist diese EXE verseucht?



Zitat:
Zitat von ka0t Beitrag anzeigen
Für solche netten Dinger habe ich ne virtuelle Maschine in der ich es dann ausführe.
Einige dieser "netten Dinger" erkennen es, wenn sie in einer virtuellen Maschine gestartet werden sollen, und verweigern dann den Dienst.

__________________
Alle Tipps und Anleitungen ohne Gewähr

Alt 20.11.2008, 10:26   #6
ka0t
 
Ist diese EXE verseucht? - Standard

Ist diese EXE verseucht?



Nur die von codesoft.cc - und wenn ich irgendein nonameprog verwenden will dann nur in meiner virtuellen Maschine.
und ich glaub das antivm immo gefixxt wurde- nur antisandboxie gibts ja schon ewig ...
Das die Amateur - freeware Kiddie Trojabaukästchen auch ein neues antivm haben glaube ich mal net - aber 100% sicher kann man ja nie sein ...

Meine fw von Agnitum hat recht gute Wertungen bzgl antileak und Selbstschutz - auch wenn die Virendefinitionen schlecht sind hat es mich vor so manchem Müll bewahrt.

Alt 20.11.2008, 11:36   #7
Silent sharK
 

Ist diese EXE verseucht? - Standard

Ist diese EXE verseucht?



Zitat:
Zitat von ka0t Beitrag anzeigen
und ich glaub das antivm immo gefixxt wurde- nur antisandboxie gibts ja schon ewig ...
Du schreibst in Rätseln.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 20.11.2008, 11:48   #8
ka0t
 
Ist diese EXE verseucht? - Standard

Ist diese EXE verseucht?



Ich meine die Teile der Trojaner die erkennen ob sich der Trojaner nun in einer virtuellen Umgebung befinden. Vmware hat den Trick den es benutzt beseitigt. Es gibt noch ein kleineres Programm, das eine virtuelle Umgebung erstellt names Sandboxie - da gibt es meines Wissens schon lange einen Trick, der nicht behoben wurde.

Alt 20.11.2008, 14:38   #9
mikaeyy
 
Ist diese EXE verseucht? - Standard

Ist diese EXE verseucht?



Zitat:
Das Trojaner-Board lebt davon, dass User ein Programm auf ihrem Rechner installieren, nachdem ihr Virenscanner und/oder Virustotal grünes Licht gegeben hat. Trotzdem (?) ist plötzlich ihr Rechner infiziert.

Beantwortet das deine Frage?

Also nicht installieren, weil wegen Virus?


Und ka0t, könntest du mir Näheres zu der virtuellen Maschine und wo ich solch eine 'vermutlich unerkannte von Viren' herbekomme, per pm schicken?

Alt 20.11.2008, 16:33   #10
Franz1968
/// Helfer-Team
 
Ist diese EXE verseucht? - Standard

Ist diese EXE verseucht?



Zitat:
Zitat von mikaeyy Beitrag anzeigen
Also nicht installieren, weil wegen Virus?
Genau, nicht installieren wegen hoher Virus-Gefahr.
Zitat:
hab von einem 'Freund' ein Programm zugeschickt bekommen und bei Virustotal hochgeladen, mit folgendem Ergebnis:
Ich meine, die Sache ist dir selbst ja von Anfang spanisch vorgekommen, oder nicht?
__________________
Alle Tipps und Anleitungen ohne Gewähr

Alt 20.11.2008, 20:22   #11
mikaeyy
 
Ist diese EXE verseucht? - Standard

Ist diese EXE verseucht?



Okay, hab auch mal nach den Ergebnissen von Virustotal gegoogelt.
Und hast ja Recht, also Danke schonmal :P Solang ich die Exe nicht ausgeführt habe, dürfte nichts passiert sein oder?

Sicherheitshalber habe ich mal einen Hijackthislog anfertigen lassen, würde mich freuen, wenn du/jmd anderes mal einen Blick drüber werfen könnte, da mein Browser etwas länger braucht als sonst um normale Seiten zu laden.
Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:25:32, on 20.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\PROGRA~1\SSS\SIMPLESCREENSHOT.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Steam\Steam.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wpabaln.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Java\jre6\bin\java.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\mikey\Desktop\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SimpleScreenshot] C:\PROGRA~1\SSS\SIMPLESCREENSHOT.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Dokumente und Einstellungen\mikey\Lokale Einstellungen\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" -inv:bootrun
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: ,
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5432 bytes
Dankeschön

btw, auch wenns vllt nicht 'verdächtig' ist, was bedeutet dies hier?
Zitat:
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

Geändert von mikaeyy (20.11.2008 um 20:55 Uhr)

Alt 21.11.2008, 14:01   #12
mikaeyy
 
Ist diese EXE verseucht? - Standard

Ist diese EXE verseucht?



Nunja, mein AntiVir hat mir gerade einen Fund 'HEUR/Crypted' gezeigt und die Exe ist, die die ich bei Virustotal hochgeladen habe, habe sie aber nicht ausgeführt gehabt.
Und noch eine Meldung..
HEUR/Crypted in C:\System Volume Information\...\A0010941.exe

Konnte beide Funde nicht löschen, war nur die Auswahl zwischen In Quarantäne verschieben, Zugriff verweigen und Ignorieren.

Geändert von mikaeyy (21.11.2008 um 14:23 Uhr)

Alt 01.12.2008, 16:58   #13
ka0t
 
Ist diese EXE verseucht? - Standard

Ist diese EXE verseucht?



Fahr im abgesicherten Modus (beim booten f8) hoch und probiers nochmal.
Du musst avira im abgesicherten Modus übrigens manuell starten.
Wenn das net gehn sollte würd ichs mit unlocker probiern ( damit kann man auch laufende Prozesse die die Eigenschaft System haben beenden) und dann mal löschen.

Avira halte ich persönlich für Müll, vor allem die Gratisversion. Wie auch hier erkennt es nicht die Quelle sondern nur die geladene Datei.

Alt 01.12.2008, 17:42   #14
john.doe
 
Ist diese EXE verseucht? - Standard

Ist diese EXE verseucht?



@mikaeyy

Starte Hijackthis => Do a system scan only => Markiere folgende Einträge:
Code:
ATTFilter
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O20 - AppInit_DLLs: ,
         
Klick auf Fixed Checked
Zitat:
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
Das ist die Netzwerkdiagnose von Microsoft. Ziemlich sinnfrei das Teil, kann gefixt werden.

ciao, andreas

Alt 01.12.2008, 18:20   #15
Franz1968
/// Helfer-Team
 
Ist diese EXE verseucht? - Standard

Ist diese EXE verseucht?



Hat sich wohl erledigt, der Thread:
http://www.trojaner-board.de/65311-bitte-einmal-durchschauen-danke.html
http://www.trojaner-board.de/64880-trojaner-auf-dem-pc.html
__________________
Alle Tipps und Anleitungen ohne Gewähr

Antwort

Themen zu Ist diese EXE verseucht?
.dll, abend, aktualisierung, crypter, dynamic, ergebnis, exe, folge, freund, generic, ide, infiziert, infiziert?, kernel, library, link, programm, verseucht, verseucht?, virus, virustotal



Ähnliche Themen: Ist diese EXE verseucht?


  1. diese Datei verseucht ?
    Log-Analyse und Auswertung - 18.10.2014 (5)
  2. Großes Lob an diese Website
    Lob, Kritik und Wünsche - 09.05.2014 (0)
  3. Braucht man diese Programme?
    Diskussionsforum - 22.09.2013 (4)
  4. wie heissen diese wohltäter
    Log-Analyse und Auswertung - 06.10.2010 (4)
  5. Ist diese Webseite verseucht ?
    Plagegeister aller Art und deren Bekämpfung - 01.06.2010 (12)
  6. wie bekomme ich diese Meldungen weg?
    Antiviren-, Firewall- und andere Schutzprogramme - 06.12.2009 (2)
  7. Geht diese Kombination gut?
    Antiviren-, Firewall- und andere Schutzprogramme - 18.11.2009 (9)
  8. Ist diese Logfile ok?
    Log-Analyse und Auswertung - 01.08.2008 (3)
  9. Ist diese Datei gefährlich?
    Plagegeister aller Art und deren Bekämpfung - 26.08.2007 (3)
  10. Wie arbeiten diese Trojaner..???
    Plagegeister aller Art und deren Bekämpfung - 05.02.2007 (2)
  11. Kennt jemand diese IP 212.43.221.215
    Log-Analyse und Auswertung - 14.09.2006 (1)
  12. Wozu dient diese 2. IP?
    Alles rund um Windows - 23.07.2006 (11)
  13. immer diese pop-ups
    Mülltonne - 06.06.2006 (1)
  14. Wo steckt diese Datei???
    Plagegeister aller Art und deren Bekämpfung - 05.06.2005 (7)
  15. was bedeuten diese Warnungen?
    Plagegeister aller Art und deren Bekämpfung - 23.02.2005 (2)
  16. Was machen diese Dienste ?
    Alles rund um Windows - 15.02.2005 (4)
  17. Immer diese Viren ^^
    Log-Analyse und Auswertung - 22.12.2004 (7)

Zum Thema Ist diese EXE verseucht? - Nabend, hab von einem 'Freund' ein Programm zugeschickt bekommen und bei Virustotal hochgeladen, mit folgendem Ergebnis: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.11.18.2 2008.11.19 - AntiVir 7.9.0.34 2008.11.19 HEUR/Crypted Authentium - Ist diese EXE verseucht?...
Archiv
Du betrachtest: Ist diese EXE verseucht? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.