Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Crypt.XPack.Gen7 und 14 Anschläge bei VirusTotal - Fehlalarm? (https://www.trojaner-board.de/181750-tr-crypt-xpack-gen7-14-anschlaege-virustotal-fehlalarm.html)

kerri88 14.09.2016 14:24
TR/Crypt.XPack.Gen7 und 14 Anschläge bei VirusTotal - Fehlalarm?
 
Hallo ihr da draußen.
Ich bin gerade dabei für YT ein Malware-Beseitigungs-Video zu erstellen.
Dafür habe ich mit Batch to Exe converter ein paar .exe-Dateien erstellt, der war von f2ko.com, also eigentlich ok.
Der Code dazu war
Code:
pause
mit verstecktem DOS-Fenster.
Die Dinger hatten willkürliche Namen und ein paar auch svchost.exe oder csrss.exe etc. dass man da als "Video-Looker" sieht, wo die nicht hingehören :)
Naja, und in allen Dateien fand Avira Antivirus sofort den Trojaner TR/Crypt.XPACK.Gen7.
Jetzt bin ich nicht sicher, ob ich das bedenkenlos für die "Show" starten kann, wobei bei Avira weiß man ja nie :blabla::D:D
Habe eine der Reports angefügt:
Code:
[Echtzeit-Scanner] Muster 'TR/Crypt.XPACK.Gen7 [trojan]'
in Datei 'C:\Users\Daniela\AppData\Roaming\svchost.exe gefunden.
Durchgeführte Aktion: Datei in Quarantäne verschieben
Habe die fragliche svchost.exe mal angehängt zur Analyse.
Immer wieder habe ich diesen verdammten Echtzeitscanner abgestellt. Aber ich bin im Admin account, da kann er sich anscheinend erlauben was er will!!! :(
Die ganze Zeit verschieb ich die Dinger, einmal habe ich ihn auch zu Virustotal...
Holla, da ist aber was rausgekommen.
Code:
SHA256:        8754a28ce76424c4a5c13341cabaa403df54a2fdbb87a31a82e11d88f53e5672
Dateiname:        svchost.exe
Erkennungsrate:        14 / 57
Analyse-Datum:        2016-09-14 13:18:26 UTC ( vor 0 Minuten )

Antivirus        Ergebnis        Aktualisierung
Antiy-AVL        Trojan[:HEUR]/Win32.KillFiles        20160914
Avast        Win32:Evo-gen [Susp]        20160914
Avira (no cloud)        TR/Crypt.XPACK.Gen7        20160914
CrowdStrike Falcon (ML)        malicious_confidence_100% (D)        20160725
Fortinet        W32/Generic.AC.3510324        20160914
Invincea        trojan.win32.multiinjector.c!rfn        20160912
Jiangmin        Backdoor.Generic.agjv        20160914
McAfee-GW-Edition        BehavesLike.Win32.Upatre.kh        20160914
Panda        Trj/Genetic.gen        20160913
Qihoo-360        HEUR/QVM05.1.0000.Malware.Gen        20160914
Rising        Malware.Generic!CxarD0icBOV@5 (thunder)        20160914
Symantec        Heur.AdvML.B        20160914
Zillya        Trojan.Confuser.Win32.143        20160914
nProtect        Trojan-Downloader/W32.Betload.70144        20160914
ALYac                20160914
AVG                20160914
AVware                20160914
Ad-Aware                20160914
AegisLab                20160914
AhnLab-V3                20160914
Alibaba                20160914
Arcabit                20160914
Baidu                20160914
BitDefender                20160914
Bkav                20160914
CAT-QuickHeal                20160914
CMC                20160912
ClamAV                20160913
Comodo                20160912
Cyren                20160914
DrWeb                20160914
ESET-NOD32                20160914
Emsisoft                20160914
F-Prot                20160914
F-Secure                20160914
GData                20160914
Ikarus                20160914
K7AntiVirus                20160914
K7GW                20160914
Kaspersky                20160914
Kingsoft                20160914
Malwarebytes                20160914
McAfee                20160914
eScan                20160914
Microsoft                20160914
NANO-Antivirus                20160914
SUPERAntiSpyware                20160914
Sophos                20160914
Tencent                20160914
TheHacker                20160911
TrendMicro                20160914
TrendMicro-HouseCall                20160914
VBA32                20160914
VIPRE                20160914
ViRobot                20160914
Yandex                20160913
Zoner                20160914
Und die URL hinterher: "https://virustotal.com/de/file/8754a28ce76424c4a5c13341cabaa403df54a2fdbb87a31a82e11d88f53e5672/analysis/1473859106/"
Ich versteh das nicht . . . :confused:
Danke um Hilfe.
sind das alles Fehlalarme oder naja...
Ich habe die svchost.exe in svchost.exe.zip gepackt und sie euch zur Analyse geschickt!
Danke im Voraus!!! :applaus::applaus::applaus::applaus:
Daniela

M-K-D-B 16.09.2016 21:15
:hallo:


Sieht nicht nach einem Fehlalarm aus.

Müssen wir etwas bereinigen?

kerri88 17.09.2016 15:05
Nein, ich habe die Datei ja noch nicht ausgeführt und mit eset und mbam gescannt, keine funde, die anderen sind schon avira zum opfer gefallen :)
ich habe die datei mit verstecktem Dos Fenster und dem 'pause' Befehl mit Bat to exe converter von f2ko.com gemacht.
Bei dem gab's auch in Virustotal keine Funde.
Werde mir wohl einen anderen Converter suchen :(:(:(:(
Aber trotzdem Danke, Daniela

M-K-D-B 17.09.2016 20:07
Der bat to exe converter sollte eigentlich schon ok sein, habe ihn schon selber verwendet. :)

Gut möglich, dass es doch Fehlmeldungen sind. :stirn:



Thema erledigt. :daumenhoc

kerri88 18.09.2016 09:40
Danke. Ich habe jetzt Advanced Batch To Exe verwendet. Kein Anschlag von Avira oder Virustotal :D

Sonst alles clean. Naja verstecktes Dos fenster ist halt verdächtig :rofl:

Danke & over


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:19 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131