Trojaner-Board - TR/Dropper.Gen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - TR/Dropper.Gen (https://www.trojaner-board.de/51923-tr-dropper-gen.html)

Hallo zusammen,

mein letzter Systemscan mit Antivir hat mir einen Trojaner namens TR/Dropper.Gen im Verzeichnis EA SPORTS\NHL 2004 angezeigt. HJT hat bislang noch nie irgendwie gemosert...gehört die zugehörige Datei evtl. da hin oder hat mich was befallen?????

Hallo

lass die Datei doch mal hier Virustotal, hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 36 AntiVirus Engine, Last Update(080422)
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

Zitat:

Zitat von nochdigger (Beitrag 335596)

das mach ich sofort..klär mich nur bitte auf, was MD5 und SHA1 Angaben sind..

Zitat:

Zitat von nochdigger (Beitrag 335596)

Hallo
lass die Datei doch mal hier Virustotal, hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 36 AntiVirus Engine, Last Update(080422)
oder hier ,
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

HTML-Code:

Okay, dann will ich mal: [url=virusscan.jotti.org/de/]Jotti[/url] :

 Datei:           dev-rtp.exe

Status:         VIELLEICHT INFIZIERT/MALWARE

Entdeckte Packprogramme:         -

Bit9 rapportiert:         

 

A-Squared         Keine Viren gefunden

AntiVir         TR/Dropper.Gen gefunden

ArcaVir         Keine Viren gefunden

Avast                 Keine Viren gefunden

AVG Antivirus Keine Viren gefunden

BitDefender         Keine Viren gefunden

ClamAV         Keine Viren gefunden

CPsecure         Keine Viren gefunden

Dr.Web         Keine Viren gefunden

F-Prot Antivirus         Keine Viren gefunden

F-Secure Anti-Virus         Keine Viren gefunden

Fortinet         Keine Viren gefunden

Ikarus         Keine Viren gefunden

Kaspersky Anti-Virus         Keine Viren gefunden

NOD32         Keine Viren gefunden

Norman Virus Control Keine Viren gefunden

Panda Antivirus         Keine Viren gefunden

Sophos Antivirus         Keine Viren gefunden

VirusBuster         Keine Viren gefunden

VBA32         Keine Viren gefunden

Virustotal

HTML-Code:

Datei dev-rtp.exe empfangen 2008.04.29 19:06:18 (CET)

Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 3/32 (9.38%)
 

AhnLab-V3        2008.4.30.0        2008.04.29        -

AntiVir        7.8.0.10        2008.04.29        TR/Dropper.Gen

Authentium        4.93.8        2008.04.27        -

Avast        4.8.1169.0        2008.04.29        -

AVG        7.5.0.516        2008.04.29        -

BitDefender        7.2        2008.04.29        -

CAT-QuickHeal        9.50        2008.04.29        -

ClamAV        0.92.1        2008.04.29        -

DrWeb        4.44.0.09170        2008.04.29        -

eSafe        7.0.15.0        2008.04.28        -

eTrust-Vet        31.3.5744        2008.04.29        -

Ewido        4.0        2008.04.29        -

F-Prot        4.4.2.54        2008.04.28        -

F-Secure        6.70.13260.0        2008.04.29        Suspicious:W32/Malware!Gemini

FileAdvisor        1        2008.04.29        -

Fortinet        3.14.0.0        2008.04.29        -

Ikarus        T3.1.1.26        2008.04.29        -

Kaspersky        7.0.0.125        2008.04.29        -

McAfee        5284        2008.04.29        -

Microsoft        1.3408        2008.04.22        -

NOD32v2        3063        2008.04.29        -

Norman        5.80.02        2008.04.29        -

Panda        9.0.0.4        2008.04.29        -

Prevx1        V2        2008.04.29        -

Rising        20.42.12.00        2008.04.29        -

Sophos        4.28.0        2008.04.29        -

Sunbelt        3.0.1056.0        2008.04.17        -

Symantec        10        2008.04.29        -

TheHacker        6.2.92.297        2008.04.29        -

VBA32        3.12.6.5        2008.04.29        -

VirusBuster        4.3.26:9        2008.04.29        -

Webwasher-Gateway        6.6.2        2008.04.29        Trojan.Dropper.Gen

weitere Informationen

File size: 109056 bytes

MD5...: ef7d7a3a2297e9acc5913ea54184209b

SHA1..: 63d0470633851ea4d873ad451de824c4a4ae41f4

SHA256: 54d12f8ef268791674a69f2cf7fd9d38cee4c8707c653e4e52c35b4cea04c726

SHA512: 449d31a98d6f7e963f0c343d8eb43a2facdfebf9d30becb7799339f111a50bc1

3497ce23c8b54f1b911a79dfc1de49946d065bbb90eb43c0ce90839da93d58a0

PEiD..: -

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x401000

timedatestamp.....: 0x3fcaaccd (Mon Dec 01 02:51:57 2003)

machinetype.......: 0x14c (I386)
 

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x32c 0x400 4.21 64a63f17d2c27357490087307db8ae59

.rdata 0x2000 0x20e 0x400 2.78 fc545cfc1fa369b9240167a78a35a27f

.data 0x3000 0x9fc 0x200 4.56 7edf323c9b86f7d49df824a4fd357e33

.rsrc 0x4000 0x19b00 0x19c00 7.81 27552d9dd71f8a124698fa7c70296de4
 

( 2 imports )

> kernel32.dll: CloseHandle, CreateFileA, DeleteFileA, ExitProcess, FindResourceA, FreeLibrary, GetFileAttributesA, GetModuleHandleA, GetProcAddress, LoadLibraryA, LoadResource, SizeofResource, WriteFile

> user32.dll: DialogBoxParamA, EndDialog, LoadIconA, MessageBoxA, SendMessageA
 

( 0 exports )

packers: UPX

packers: embedded, UPX

und VirSCAN.org

HTML-Code:

AhnLab-V3        2008.4.30.0        2008.04.29        -

AntiVir        7.8.0.10        2008.04.29        TR/Dropper.Gen

Authentium        4.93.8        2008.04.27        -

Avast        4.8.1169.0        2008.04.29        -

AVG        7.5.0.516        2008.04.29        -

BitDefender        7.2        2008.04.29        -

CAT-QuickHeal        9.50        2008.04.29        -

ClamAV        0.92.1        2008.04.29        -

DrWeb        4.44.0.09170        2008.04.29        -

eSafe        7.0.15.0        2008.04.28        -

eTrust-Vet        31.3.5744        2008.04.29        -

Ewido        4.0        2008.04.29        -

F-Prot        4.4.2.54        2008.04.28        -

F-Secure        6.70.13260.0        2008.04.29        Suspicious:W32/Malware!Gemini

FileAdvisor        1        2008.04.29        -

Fortinet        3.14.0.0        2008.04.29        -

Ikarus        T3.1.1.26        2008.04.29        -

Kaspersky        7.0.0.125        2008.04.29        -

McAfee        5284        2008.04.29        -

Microsoft        1.3408        2008.04.22        -

NOD32v2        3063        2008.04.29        -

Norman        5.80.02        2008.04.29        -

Panda        9.0.0.4        2008.04.29        -

Prevx1        V2        2008.04.29        -

Rising        20.42.12.00        2008.04.29        -

Sophos        4.28.0        2008.04.29        -

Sunbelt        3.0.1056.0        2008.04.17        -

Symantec        10        2008.04.29        -

TheHacker        6.2.92.297        2008.04.29        -

VBA32        3.12.6.5        2008.04.29        -

VirusBuster        4.3.26:9        2008.04.29        -

Webwasher-Gateway        6.6.2        2008.04.29        Trojan.Dropper.Gen

weitere Informationen

File size: 109056 bytes

MD5...: ef7d7a3a2297e9acc5913ea54184209b

SHA1..: 63d0470633851ea4d873ad451de824c4a4ae41f4

SHA256: 54d12f8ef268791674a69f2cf7fd9d38cee4c8707c653e4e52c35b4cea04c726

SHA512: 449d31a98d6f7e963f0c343d8eb43a2facdfebf9d30becb7799339f111a50bc1

3497ce23c8b54f1b911a79dfc1de49946d065bbb90eb43c0ce90839da93d58a0

PEiD..: -

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x401000

timedatestamp.....: 0x3fcaaccd (Mon Dec 01 02:51:57 2003)

machinetype.......: 0x14c (I386)
 

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x32c 0x400 4.21 64a63f17d2c27357490087307db8ae59

.rdata 0x2000 0x20e 0x400 2.78 fc545cfc1fa369b9240167a78a35a27f

.data 0x3000 0x9fc 0x200 4.56 7edf323c9b86f7d49df824a4fd357e33

.rsrc 0x4000 0x19b00 0x19c00 7.81 27552d9dd71f8a124698fa7c70296de4
 

( 2 imports )

> kernel32.dll: CloseHandle, CreateFileA, DeleteFileA, ExitProcess, FindResourceA, FreeLibrary, GetFileAttributesA, GetModuleHandleA, GetProcAddress, LoadLibraryA, LoadResource, SizeofResource, WriteFile

> user32.dll: DialogBoxParamA, EndDialog, LoadIconA, MessageBoxA, SendMessageA
 

( 0 exports )

packers: UPX

packers: embedded, UPX

das mit den Daten hab ich entdeckt, dass das bei Virustotal beisteht....

und nun?

Hallo

stammt die Datei vom Originalspiel oder aus einer weniger vertrauensvollen Quelle:rolleyes:?
Seit wann hast du die Datei in gebrauch und wurde sie ausgeführt?

MFG

Zitat:

Zitat von nochdigger (Beitrag 335618)

Hallo

stammt die Datei vom Originalspiel oder aus einer weniger vertrauensvollen Quelle:rolleyes:?
Seit wann hast du die Datei in gebrauch und wurde sie ausgeführt?

MFG

wenn ich das wüsste...ich wüsste net, dass irgendwas nachinstalliert wurde, was net von der offiziellen ea-seite war.........in Gebrauch ist sie überhaupt net und ausgeführt wurde sie zumindest von mir noch nie......

ich glaub ich mach einfach mal nhl2004 komplett runter und installier nochmal..meinst du das hilft???

Moin

Zitat:

Hm, hört sich aber erstmal gut an.

Zitat:

ich glaub ich mach einfach mal nhl2004 komplett runter und installier nochmal..meinst du das hilft???

damit warte bitte nochmal, lade die Datei bitte mal hier hoch
Submit your sample
EDIT: Bitte Verdacht auf Fehlalarm angeben!
und warte die Antwort von Avira ab, die sind relativ fix bei der Geschichte.
Wenn das Ergebnis da ist können wir weiter sehen.

MFG

Hallo nochmal

hab ich ganz vergessen:o

Zitat:

das mach ich sofort..klär mich nur bitte auf, was MD5 und SHA1 Angaben sind..

http://de.wikipedia.org/wiki/Message-Digest_Algorithm_5
http://de.wikipedia.org/wiki/SHA-1

MFG

Zitat:

Zitat von nochdigger (Beitrag 335671)

das kann ich heut abend erst machen, wenn ich wieder daheim bin, dann aber auf jeden fall....

Zitat:

Zitat von nochdigger (Beitrag 335671)

so....jetzt bin ich so schlau wie vorher:

HTML-Code:

Datei ID          Dateiname          Größe (Byte)         Ergebnis

25006001          dev-rtp.exe          106.5 KB          UNDER ANALYSIS
 
 

Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:

 Dateiname         Ergebnis

 dev-rtp.exe          UNDER ANALYSIS
 

Die Datei 'dev-rtp.exe' wurde als 'UNDER ANALYSIS' eingestuft.

Hallo

Zitat:

so....jetzt bin ich so schlau wie vorher:

die Antwort steht noch aus, z.Zt. wird die Datei untersucht

Zitat:

Dateiname Ergebnis
dev-rtp.exe UNDER ANALYSIS

OK?

Ich denke du kannst morgen oder Freitag mit dem Ergebnis rechnen;)

MFG

Zitat:

Zitat von nochdigger (Beitrag 335734)

Ich denke du kannst morgen oder Freitag mit dem Ergebnis rechnen;)
MFG

okay, ich war zu doof...... :D

heute ist freitag und heute kam die Antwort:

HTML-Code:

Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:

Datei ID          Dateiname         Größe (Byte)         Ergebnis

25006001          dev-rtp.exe          106.5 KB          FALSE POSITIVE
 
 

Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:

 Dateiname         Ergebnis          dev-rtp.exe          FALSE POSITIVE
 

Die Datei 'dev-rtp.exe' wurde als 'FALSE POSITIVE' eingestuft. 

Dies bedeutet, dass diese Datei nicht gefährlich und eine Fehlmeldung unsererseits ist. 

Das Erkennungsmuster wird nicht entfernt werden da es sich um eine nicht reguläre Software handelt welche für die Umgehung von Schutzmechanismen in Computerprogrammen verwendet wird. 

Sollte ein virulenter Inhalt bzw. böswillige Eigenschaften festgestellt werden, wird diese Datei in die Erkennung in einer der nächsten VDF Update aufgenommen. 

Sollte bereits eine Erkennung seitens AntiVir vorliegen, wird diese nicht geändert oder angepasst.

wenn ich das richtig lese, ist somit prinzipiell alles i.O., die Datei wird aber weiter gemeldet werden, wenn ich einen Systemcheck mache.....

so weit, so gut, dh mein rechner ist doch sauber......oder??

Moin

Zitat:

Die Datei 'dev-rtp.exe' wurde als 'FALSE POSITIVE' eingestuft.

Das ist das Ergebnis welches ich sehen wollte;)

Zitat:

wenn ich das richtig lese, ist somit prinzipiell alles i.O.

Jein, ich rate dir verschiebe die Datei (evtl. im abgesicherten Modus) an einen anderen Ort und schau ob weiterhin alle anderen Anwendungen auf dem System einwandfrei funktionieren.

Lass die Datei dann in ca. 14 Tagen nochmal bei Virustotal durchlaufen, ich hoffe es ändert sich nix an der Erkennung, sonst hast du ein Problem.

Einen Onlinescan hier z.B. kann sicherlich auch nicht schaden.
Free Virus Scan - Kaspersky Lab

MFG

was mir hier auffällt, (sorry für einmischung) umgehung regulärer schutzsoftware...) also doch etwas zum knacken?
dieser false positiv wird nciht entfernt werden von seiten aviras. wenn du wirklich sicher bist, werde ich mal einem mitarbeiter von avira schreiben der soll sich das dann noch mal genauer ansehen.

Moin

Zitat:

was mir hier auffällt, (sorry für einmischung) umgehung regulärer schutzsoftware...) also doch etwas zum knacken?

Kein Problem, ich denke fast ja und darum wollte ich die Datei aus dem Verkehr haben...

Zitat:

ich rate dir verschiebe die Datei (evtl. im abgesicherten Modus) an einen anderen Ort und schau ob weiterhin alle anderen Anwendungen auf dem System einwandfrei funktionieren.

Zitat:

wenn du wirklich sicher bist, werde ich mal einem mitarbeiter von avira schreiben der soll sich das dann noch mal genauer ansehen.

Mach das mal wenns für dich möglich ist:daumenhoc

MFG