Batch to Exe zaubert Trojaner?
 

Hallo Community,

ich benutze das Programm "TrueCrypt" auf meinem USB Stick.

Zudem ist "TrueCrypt" auf diesem Stick in "Portable Apps" eingebunden. Um nun meinen Datencontainer im 1- klick Verfahren mounten bzw. dismounten zu können, habe ich mir zwei bat Dateien erstellt. Um diese bat Datei auch in Portable Apps anzeigen zu können, habe ich sie mit dem Programm "Batch2Exe" konvertiert.

Das Ergebniss: Stick rein- "Portable Apps" (Menü) öffnet sich- "TrueCrypt" lässt sich separat auswählen (TC Format/ TC Hauptprogramm) bzw. Container lässt direkt ansprechen (Mount/ Dismount).

Das Promlem: Windows Defender (Vista Ultimate 64 bit) erkennt Win32/ Agent, sowohl bei der Mount, als auch bei der Dismount.exe.

Trojan Guard, Ad Aware, Spybot Search& Destroy erkennen nichts.

Aber bei VirusTotal.com da wird eine ganze Menge erkannt...

Ich hab hier mal den Log drangehängt

AhnLab-V3 2008.10.27.3 2008.10.28 -
AntiVir 7.9.0.9 2008.10.28 -
Authentium 5.1.0.4 2008.10.27 W32/Backdoor.AFNU
Avast 4.8.1248.0 2008.10.28 Win32:Agent-AAJA
AVG 8.0.0.161 2008.10.28 Generic10.BEEV
BitDefender 7.2 2008.10.28 Trojan.Dropper.SGR
CAT-QuickHeal 9.50 2008.10.28 -
ClamAV 0.93.1 2008.10.28 -
DrWeb 4.44.0.09170 2008.10.28 -
eSafe 7.0.17.0 2008.10.27 Suspicious File
eTrust-Vet 31.6.6177 2008.10.28 -
Ewido 4.0 2008.10.28 Trojan.KillWin.cz
F-Prot 4.4.4.56 2008.10.27 W32/Backdoor.AFNU
F-Secure 8.0.14332.0 2008.10.28 -
Fortinet 3.117.0.0 2008.10.28 -
GData 19 2008.10.28 Trojan.Dropper.SGR
Ikarus T3.1.1.44.0 2008.10.28 Backdoor.Win32.Ciadoor.123
K7AntiVirus 7.10.510 2008.10.28 Trojan.Win32.Malware.New
Kaspersky 7.0.0.125 2008.10.28 -
McAfee 5416 2008.10.28 -
Microsoft 1.4005 2008.10.28 Trojan:Win32/Agent
NOD32 3562 2008.10.28 -
Norman 5.80.02 2008.10.27 -
Panda 9.0.0.4 2008.10.28 -
PCTools 4.4.2.0 2008.10.28 -
Prevx1 V2 2008.10.28 Cloaked Malware
Rising 21.01.12.00 2008.10.28 -
SecureWeb 6.7.6 2008.10.28 -
Sophos 4.35.0 2008.10.28 -
Sunbelt 3.1.1760.1 2008.10.27 -
Symantec 10 2008.10.28 -
TheHacker 6.3.1.1.132 2008.10.28 -
TrendMicro 8.700.0.1004 2008.10.28 PAK_Generic.001
VBA32 3.12.8.8 2008.10.27 suspected of Embedded.Trojan.BAT.Agent.j
ViRobot 2008.10.28.1441 2008.10.28 -
VirusBuster 4.5.11.0 2008.10.27 -


weitere Informationen
File size: 35155 bytes
MD5...: 8d9cd3d872ab3d02cb957196ddcf6aec
SHA1..: 86c362a8ddc46890cf9772bbd6417727d6c9cb14
SHA256: cee4e8359e4fb7ca5f4a9b8cc87a6fb344c624e216b2b7b25979f5b9f36b0615
SHA512: 00390f928bdb34e8d107043096229235d18c6cb4afe10f76090d705cf1ada489
396fccb59b11664b1f433e5ca2255c892186d19b2030a2b0707747c93346a8f0
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x414f30
timedatestamp.....: 0x4904c927 (Sun Oct 26 19:46:47 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x11000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x12000 0x4000 0x3200 7.82 78eca6750f21705f892d638cb062962d
.rsrc 0x16000 0x4000 0x3800 6.38 aa7b895fdf9a2906e4fdc00f72cf55ea

( 2 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, ExitProcess
> MSVCRT.DLL: _iob

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=D016FA5D53F9B25F1DAB00260165B6001EF41766
packers (Kaspersky): PE_Patch.UPX, UPX, PE_Patch.UPX, UPX, Batch2Exe
packers (Authentium): UPX
packers (F-Prot): UPX

Das Log ist von der Mount.exe, der Log von der Dismount.exe ist vergleichbar.

Ich bin an dem PC mit Admin Rechten. Ich bin der alleinige Nutzer. Die Bat Datei ist von mir umgewandelt worden.

Kann mir jemand von Euch helfen, diese unterschiedlichen Ergebnisse zu bewerten?

Bis später


Al Borland

Hi,

von welcher Seite hast du die "Mount.exe", die das mehr oder weniger überraschende Ergebnis verursacht?

Kannst du sie in ein passwortgeschütztes zip-Archiv packen (PW: infected) und an meine Email-Addresse (Profil) schicken?

Danke

Hallo Silent,

brauchst Du nur die mount oder auch die dismount.exe?

Willst Du auch die bat Dateien, also die ausgangsprodukte haben?

mfg

al borland

achso, nachtrag:

die exe Dateien habe ich mir selber umgewandelt... also die Konvertierung ist auf meinen mist gewachsen.

Es reicht die Mount.exe, da die Dismount.exe wie du schon sagtest, das gleiche Ergebnis hat, oder?

Edit:

Dann sind die Mount.exe/Dismount.exe Eigenprodukte?
Kannst du mir dann die Seite (bitte entschärfen!) nennen, wo du das Programm dafür heruntergeladen hast?

ich wieder...

wie kann ich hier bei internen mails einen anhang mitschicken?

Gepackt ist es, mit winrar.

Das mit der Website ist so ein Problem... ich hab den Verlauf gelöscht. Da ich den ganzen Tag auf der suche nach solch einem Programm gewesen bin und mehrere Alternativen getestet habe, kann ich das nicht mehr rekonstruieren.

Der Autor von dem Programm steht allerdings in den Programmeigenschaften.

Reicht dir das zunächst aus?

Je nach dem, welchen Anbieter du hast.
Normalerweise steht unten, wenn du eine Email verschickst "Datei(en) anhängen" o.Ä.

Weißt du noch, ob die Seite ein Impressum hatte oder war dir die Seite länger bekannt bzw. vertraut?

Datei anhängen ist klar, aber an welche email addy geht es dann?


Downloadseite unbekannt, wie immer. Ich kam über ein Forum dahin...

Steht in meinem Profil. ;)

Wenn es denn eine seriöse Seite gewesen wäre, hätte man dem Autor eine Mail schreiben können, das seine Seite geowned wurde. ;)

post ist da

Danke, ich schicke das Packet den AV-Labs und melde mich, was dabei herraus kommt. ;)

Führe bitte auf dem infiziertem Rechner noch das aus:

ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

so, ich hab ccleaner durchgeführt...

ich kann ComboFix nicht starten, nicht Vista kompatibel

Es geht auch anders:

1.)
Erstelle ein regelkonformes Logfile mit HijackThis und poste es hier.

2.)
Blacklight scannen lassen

• Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
• Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
• Klick "I accept the agreement", "next", "Scan".
• Wenn der Scan fertig ist beende Blacklight mit "Close".
• Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

Sophos scannen lassen

• Gehe zu Sophos und lade dir ihren Rootkitescanner herunter. Du bekommst eine Installationsdatei sarsfx.exe.
• Starte diese, akzeptiere die Lizenz und lass das Programm installieren, ändere den Pfad C:\SOPHTEMP nicht.
• Gehe mit dem Explorer in diesen Ordner und starte sargui.exe, schließe danach alle anderen Programme.
• Lass unter Area alles angehalt und starte den Scan mit "Start scan". Der Scan dauert einige Zeit, wenn er fertig ist poppt ein Fenster auf mit einer Zusammenfassung, klicke dort "Ok". Beende den Sophos Rootkitscanner, dieser Scan dient nur der Analyse.
• Starte den Explorer und gib in der Adresszeile "%temp%" ein (ohne Anführungsstriche), dort gibt es eine Datei sarscan.log, deren Inhalt bitte posten.

Gmer scannen lassen

Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.

• Starte gmer.exe und gehe zum Tab Rootkit. Alle anderen Programme sollen geschlossen sein.

• Stelle sicher, daß in der Leiste rechts alles von "System" bis "ADS" angehakt ist
• (Wichtig: "Show all" darf nicht angehakt sein)

• Starte den Durchlauf mit "Scan".

• Mache nichts am Computer während der Scan läuft.

• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.

• Füge das Log aus der Zwischenablage in deine Antwort hier ein.

3.)
MalwareBytes Anti-Malware:

• Lade dir MalwareBytes Anti-Malware
• Folge den Anweisungen der Anleitung und poste das Logfile

So, nachdem ich nun fleissig Daten gesammelt habe, hier mal alle Informationen.

Zunächst,

zu 1) HiJackthis post, hängt dran.

zu 2) F Secure Blacklight hängt auch dran.

Sophos geht nicht, weil nicht Vista fähig.

Gmer hat funktioniert, allerdings liessen sich unter dem Tab Rootkit/ Malware lediglich die Punkte "Services, Registry, Files und ADS" anhaken. "Show all" sollte nicht, ging auch nicht, wegen ausgegraut. Log hängt auch dran.

zu 3) MalwareBytes Anti Malware hängt auch dran.



HiJackThis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:03:03, on 28.10.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\SysWOW64\conime.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Avira\Avira Premium Security Suite\avgnt.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: ::1 localhost
O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Program Files (x86)\AskPBar\bar\1.bin\ASKPBAR.DLL
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\Avira Premium Security Suite\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" /install /silent
O4 - Global Startup: Trojan Guarder Gold Version.lnk = C:\Program Files (x86)\Trojan Guarder Gold Version\Trojan Guarder.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~2\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~2\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files (x86)\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira Premium Security Suite Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files (x86)\Avira\Avira Premium Security Suite\sched.exe
O23 - Service: Avira Premium Security Suite Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\Avira Premium Security Suite\avguard.exe
O23 - Service: Avira Premium Security Suite WebGuard (antivirwebservice) - Avira GmbH - C:\Program Files (x86)\Avira\Avira Premium Security Suite\AVWEBGRD.EXE
O23 - Service: Avira Premium Security Suite MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Program Files (x86)\Avira\Avira Premium Security Suite\avesvc.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files (x86)\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files (x86)\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files (x86)\CDBurnerXP\NMSAccessU.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files (x86)\Cyberlink\Shared files\RichVideo.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 6968 bytes


Blacklight

10/28/08 16:24:11 [Info]: BlackLight Engine 2.2.1092 initialized
10/28/08 16:24:11 [Info]: OS: 6.0 build 6001 (Service Pack 1)
10/28/08 16:24:11 [Note]: 7019 4
10/28/08 16:24:11 [Note]: 7005 0
10/28/08 16:24:15 [Note]: 7006 0
10/28/08 16:24:15 [Note]: 7027 0
10/28/08 16:24:15 [Note]: 7035 0
10/28/08 16:24:15 [Note]: 7026 0
10/28/08 16:24:16 [Note]: 7026 0
10/28/08 16:24:17 [Note]: FSRAW library version 1.7.1024
10/28/08 16:24:34 [Note]: 4015 96920
10/28/08 16:24:34 [Note]: 4027 96920 196608
10/28/08 16:24:34 [Note]: 4020 96899 196608
10/28/08 16:24:34 [Note]: 4018 96899 196608
10/28/08 16:24:50 [Note]: 4015 116803
10/28/08 16:24:50 [Note]: 4027 116803 1441792
10/28/08 16:24:50 [Note]: 4020 274 65536
10/28/08 16:24:50 [Note]: 4018 274 65536
10/28/08 16:25:16 [Note]: 4015 2062
10/28/08 16:25:16 [Note]: 4027 2062 65536
10/28/08 16:25:16 [Note]: 4020 719 65536
10/28/08 16:25:16 [Note]: 4018 719 65536
10/28/08 16:25:41 [Note]: 4015 2062
10/28/08 16:25:41 [Note]: 4027 2062 65536
10/28/08 16:25:41 [Note]: 4020 719 65536
10/28/08 16:25:41 [Note]: 4018 719 65536
10/28/08 16:25:45 [Note]: 4015 2062
10/28/08 16:25:45 [Note]: 4027 2062 65536
10/28/08 16:25:45 [Note]: 4020 719 65536
10/28/08 16:25:45 [Note]: 4018 719 65536
10/28/08 16:25:49 [Note]: 4015 2062
10/28/08 16:25:49 [Note]: 4027 2062 65536
10/28/08 16:25:49 [Note]: 4020 719 65536
10/28/08 16:25:49 [Note]: 4018 719 65536
10/28/08 16:26:10 [Note]: 4015 2877
10/28/08 16:26:10 [Note]: 4027 2877 65536
10/28/08 16:26:10 [Note]: 4020 719 65536
10/28/08 16:26:10 [Note]: 4018 719 65536
10/28/08 16:32:40 [Note]: 2000 1012
10/28/08 16:32:54 [Note]: 7007 0



Gmer

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-10-28 17:01:28
Windows 6.0.6001 Service Pack 1


---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\00158307cc94
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\00158307cc94

---- EOF - GMER 1.0.14 ----




MalwareBytes AntiMalware

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1332
Windows 6.0.6001 Service Pack 1

28.10.2008 18:01:04
mbam-log-2008-10-28 (18-01-04).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 145303
Laufzeit: 54 minute(s), 30 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Keine anderen Log files da...

Nur nochmal zum Verständniss, der Trojaner war auf dem Stick (Laufwerk D) erkannt worden. Den Stick hatte ich während der gesamten Scan Phase am USB angesteckt.


mfg

al borland

Sieht relativ gut aus.
Hattest du Probleme mit ZBot bzw. der ntos.exe?

Hm, also diese beiden Datei namen sagen mir nicht viel.

Das System ist jetzt knappe drei wochen alt. Ich bin manchmal etwas grau im Kopf, aber ich hatte bis dato keinerlei probleme angezeigt.

Ich nutze den Router der Fritzbox, den Windows Defender und die Windows Firewall, ich bin mit Firefox im I-net. Natürlich alles mit frischen updates. Mir ist bisher nichts angezeigt worden, ausser diese Win32/ Agent Warnung. Und das ausschliesslich auf dem Stick.

Ich bezweifle, dass du infiziert worden bist, da du ja ein 64bit System besitzt und die meisten Schädlinge darauf nicht kompatibel sind.

Ich denke, du bist mit einem blauen Auge davongekommen. ;)

Also zunächst mal danke, das Du deinen nachmittag bis jetzt mit mir verbracht hast. Das ging ja wie am Fliessband.

Abschliessend ist für mich interessant zu wissen, ob ich diese exe Dateien einsetzen kann. Natürlich könnte ich sie löschen... Aber das wäre dann eben nur die einfache Alternative, ich bin mit der Funktionsweise aus dem Stick Menü ganz zufrieden. Deswegen würde ich sie gern weiternutzen...

Kein Problem,

ehrlich gesagt, würde ich mich von dem Programm verabschieden. Das VT-Ergebnis spricht da für sich. Am besten suchst du dir eins, von einer vertrauenswürdigen Seite.
Sie sollte auf jedenfall ein Impressum enthalten.

kann es ein methodisches Problem sein?

wie gesagt, ich hatte gelesen, das es damit schon häufiger auffällige ergebnisse gegeben hat.

Also ich meine, dann könnte es doch sein, das es mit anderen Programmen auch passiert?!

Ich glaube nicht, das es an der Art des Programmes liegt.

ok, ich werd mich nach einem alternativ programm umschauen...

Ich hänge hier gleich nochmal ne Frage an. Obwohl es nicht direkt hierher passt.

Also mit dem Fritzbox Router und dem MS Windows Paket (Defender/ Firewall) und Avira Premium Security Suite bin ich im laufenden Betrieb unterwegs. Ausserdem nutze ich Firefox.

Für regelmäßige Überprüfungen benutze ich ausserdem

a squared
ad aware
spybot s& d
und von Mc Affee Avert den stinger

ich würde das Programm jetzt noch um

F Secure Blacklight
Gmer
und Malwarebytes Anti-Malware erweitern.

Zu ängstlich oder sinnvoll um alle Bedrohungen abzudecken?



Noch was...

ich hab hier von dem selben Autor ein anderes Konverter Programm entdeckt.

computerbild.de/download/hersteller/Fatih_Kodak_2345611.html

Ist der selbe Software Autor. Aber eine Vertrauenswürdige Site?

Kann ein Download von so einer Site potenziell gefährlich sein?

N Impressum wäre vorhanden...:-)

Zu ängstlich.
Avira reicht vollkommen als permanente Virenklingel und MBAM ist bestens geeignet für gelegentliches Scannen, mehr braucht man definitiv nicht.
Programme von Computerbild sollten eigentlich clean sein, vorrausgesetzt sie sind noch im legalen Geschäft. ;)
Spaß beiseite, du kannst es ja bei Virustotal überprüfen lassen, bevor du eine solche .exe ausführst.

Danke für Deine umfangreiche Hilfe. Die Step by Step Anleitungen haben es anschlaulich gemacht und den Ablauf vereinfacht...

Hallo Silent,

ich wäre ja nicht ich, wenn ich mich nicht nochmal melden würde... :-)

Also, ich hab mir ne anderes Programm gesucht, Quick Batch File Compiler.

Hier ist der Download her... battoexe.com/

War alles easy, Virustotal sagt clean.

Den Compiler benutzt, bat in exe umgewandelt, der Windows Defender sagt, alles grün.

Hm, Virustotal aber nicht...

Virustotal sagt:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.28.3 2008.10.29 Win-Trojan/Xema.variant
AntiVir 7.9.0.10 2008.10.29 -
Authentium 5.1.0.4 2008.10.29 W32/Backdoor2.DAUQ
Avast 4.8.1248.0 2008.10.29 -
AVG 8.0.0.161 2008.10.29 -
BitDefender 7.2 2008.10.29 -
CAT-QuickHeal 9.50 2008.10.29 -
ClamAV 0.93.1 2008.10.29 Trojan.Startpage-773
DrWeb 4.44.0.09170 2008.10.29 Trojan.StartPage.21579
eSafe 7.0.17.0 2008.10.29 -
eTrust-Vet 31.6.6179 2008.10.29 -
Ewido 4.0 2008.10.29 -
F-Prot 4.4.4.56 2008.10.29 W32/Backdoor2.DAUQ
F-Secure 8.0.14332.0 2008.10.29 -
Fortinet 3.117.0.0 2008.10.28 -
GData 19 2008.10.29 -
Ikarus T3.1.1.44.0 2008.10.29 Trojan-Dropper.Qhost.PK
K7AntiVirus 7.10.511 2008.10.29 Trojan-Downloader.Win32.Qhost.c
Kaspersky 7.0.0.125 2008.10.29 -
McAfee 5417 2008.10.28 -
Microsoft 1.4005 2008.10.29 -
NOD32 3566 2008.10.29 -
Norman 5.80.02 2008.10.29 -
Panda 9.0.0.4 2008.10.29 Suspicious file

Und jetzt kommst du... :-))

So,
Schicke die Datei zu Avira => Submit your Sample
Wichtig ist, dass du bei der Option Typ auf Verdacht auf Fehlalarm stellst.
Avira wird dich innerhalb von 2 Tagen per Email benachrichtigen, wenn die Analyse fertig ist. ;)

Hallo,

so ich hab jetzt einige Infos um dieses Thema wohl zum Abschluss zu bringen.

Ich hab nochmal einiges ausprobiert. Die exe Dateien die mir das letzte Programm erstellt hatte (Quick Batch File Compiler), wurden von den Windows eigenen Mitteln (Defender, Firewall) nicht gemeldet. Wohl aber wieder von Virustotal und Jotti.

Ich hab die Dateien dann gezippt und zu Avira geschickt, beide Dateien wurde mit clean eingestuft.

Sind die online scanner zu ungenau/ zu sensibel oder warum bekomme ich nur dort, eine Viruswarnung?

Wäre klasse, hierzu nochmal eine Meinung zu bekommen, danach wäre das Thema dann nämlich für mich geklärt und der Thread könnte zu gemacht werden...


Danke


Al Borland

eigentlich werden alle batch2exe-Dateien als infiziert gemeldet, es liegt offensichtlich lediglich an den Programmen, die man dazu benutzt, denn auf den eigentlichen Zweck des Programmes kommt es nicht an.

Meiner Meinung nach sind die Ergebnisse von Jotti und Virustotal nicht immer aussagekräftig, das bezieht sich nicht lediglich auf diesen Fall, sondern ist allgemein gemeint. :)

Hallo Heike,

danke für Deine schnelle Reaktion.

Deine Antwort (er)klärt eigentlich den Ursprung meines Problems... Hattest du meine einstiegsfrage gelesen? Ich hatte bereits in anderen Foren auch schon gelesen, das derlei kompilierte Dateien häufig erkannt werden als Schadware.

Ich konnte es bei der Vielzahl der unterschiedlichen Ergebnisse, von verschiedenen Quellen nicht richtig deuten.

Einige Scanner erkannten garnichts, andere widerrum hatten eindeutige Ergebnisse...

Ich geh also in meinem beschriebenen Fall davon aus, das die Online Scanner hier nicht richtig justiert gewesen sind.

Danke für die Auskunft


Al Borland


p.s. Problem gelößt= Fragesteller glücklich :daumenhoc