Batch to Exe zaubert Trojaner? Hallo Community, ich benutze das Programm "TrueCrypt" auf meinem USB Stick. Zudem ist "TrueCrypt" auf diesem Stick in "Portable Apps" eingebunden. Um nun meinen Datencontainer im 1- klick Verfahren mounten bzw. dismounten zu können, habe ich mir zwei bat Dateien erstellt. Um diese bat Datei auch in Portable Apps anzeigen zu können, habe ich sie mit dem Programm "Batch2Exe" konvertiert. Das Ergebniss: Stick rein- "Portable Apps" (Menü) öffnet sich- "TrueCrypt" lässt sich separat auswählen (TC Format/ TC Hauptprogramm) bzw. Container lässt direkt ansprechen (Mount/ Dismount). Das Promlem: Windows Defender (Vista Ultimate 64 bit) erkennt Win32/ Agent, sowohl bei der Mount, als auch bei der Dismount.exe. Trojan Guard, Ad Aware, Spybot Search& Destroy erkennen nichts. Aber bei VirusTotal.com da wird eine ganze Menge erkannt... Ich hab hier mal den Log drangehängt AhnLab-V3 2008.10.27.3 2008.10.28 - AntiVir 7.9.0.9 2008.10.28 - Authentium 5.1.0.4 2008.10.27 W32/Backdoor.AFNU Avast 4.8.1248.0 2008.10.28 Win32:Agent-AAJA AVG 8.0.0.161 2008.10.28 Generic10.BEEV BitDefender 7.2 2008.10.28 Trojan.Dropper.SGR CAT-QuickHeal 9.50 2008.10.28 - ClamAV 0.93.1 2008.10.28 - DrWeb 4.44.0.09170 2008.10.28 - eSafe 7.0.17.0 2008.10.27 Suspicious File eTrust-Vet 31.6.6177 2008.10.28 - Ewido 4.0 2008.10.28 Trojan.KillWin.cz F-Prot 4.4.4.56 2008.10.27 W32/Backdoor.AFNU F-Secure 8.0.14332.0 2008.10.28 - Fortinet 3.117.0.0 2008.10.28 - GData 19 2008.10.28 Trojan.Dropper.SGR Ikarus T3.1.1.44.0 2008.10.28 Backdoor.Win32.Ciadoor.123 K7AntiVirus 7.10.510 2008.10.28 Trojan.Win32.Malware.New Kaspersky 7.0.0.125 2008.10.28 - McAfee 5416 2008.10.28 - Microsoft 1.4005 2008.10.28 Trojan:Win32/Agent NOD32 3562 2008.10.28 - Norman 5.80.02 2008.10.27 - Panda 9.0.0.4 2008.10.28 - PCTools 4.4.2.0 2008.10.28 - Prevx1 V2 2008.10.28 Cloaked Malware Rising 21.01.12.00 2008.10.28 - SecureWeb 6.7.6 2008.10.28 - Sophos 4.35.0 2008.10.28 - Sunbelt 3.1.1760.1 2008.10.27 - Symantec 10 2008.10.28 - TheHacker 6.3.1.1.132 2008.10.28 - TrendMicro 8.700.0.1004 2008.10.28 PAK_Generic.001 VBA32 3.12.8.8 2008.10.27 suspected of Embedded.Trojan.BAT.Agent.j ViRobot 2008.10.28.1441 2008.10.28 - VirusBuster 4.5.11.0 2008.10.27 - weitere Informationen File size: 35155 bytes MD5...: 8d9cd3d872ab3d02cb957196ddcf6aec SHA1..: 86c362a8ddc46890cf9772bbd6417727d6c9cb14 SHA256: cee4e8359e4fb7ca5f4a9b8cc87a6fb344c624e216b2b7b25979f5b9f36b0615 SHA512: 00390f928bdb34e8d107043096229235d18c6cb4afe10f76090d705cf1ada489 396fccb59b11664b1f433e5ca2255c892186d19b2030a2b0707747c93346a8f0 PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser TrID..: File type identification UPX compressed Win32 Executable (39.5%) Win32 EXE Yoda's Crypter (34.3%) Win32 Executable Generic (11.0%) Win32 Dynamic Link Library (generic) (9.8%) Generic Win/DOS Executable (2.5%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x414f30 timedatestamp.....: 0x4904c927 (Sun Oct 26 19:46:47 2008) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 UPX0 0x1000 0x11000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e UPX1 0x12000 0x4000 0x3200 7.82 78eca6750f21705f892d638cb062962d .rsrc 0x16000 0x4000 0x3800 6.38 aa7b895fdf9a2906e4fdc00f72cf55ea ( 2 imports ) > KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, ExitProcess > MSVCRT.DLL: _iob ( 0 exports ) Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=D016FA5D53F9B25F1DAB00260165B6001EF41766 packers (Kaspersky): PE_Patch.UPX, UPX, PE_Patch.UPX, UPX, Batch2Exe packers (Authentium): UPX packers (F-Prot): UPX Das Log ist von der Mount.exe, der Log von der Dismount.exe ist vergleichbar. Ich bin an dem PC mit Admin Rechten. Ich bin der alleinige Nutzer. Die Bat Datei ist von mir umgewandelt worden. Kann mir jemand von Euch helfen, diese unterschiedlichen Ergebnisse zu bewerten? Bis später Al Borland |
Hi, von welcher Seite hast du die "Mount.exe", die das mehr oder weniger überraschende Ergebnis verursacht? Kannst du sie in ein passwortgeschütztes zip-Archiv packen (PW: infected) und an meine Email-Addresse (Profil) schicken? Danke |
Hallo Silent, brauchst Du nur die mount oder auch die dismount.exe? Willst Du auch die bat Dateien, also die ausgangsprodukte haben? mfg al borland achso, nachtrag: die exe Dateien habe ich mir selber umgewandelt... also die Konvertierung ist auf meinen mist gewachsen. |
Es reicht die Mount.exe, da die Dismount.exe wie du schon sagtest, das gleiche Ergebnis hat, oder? Edit: Dann sind die Mount.exe/Dismount.exe Eigenprodukte? Kannst du mir dann die Seite (bitte entschärfen!) nennen, wo du das Programm dafür heruntergeladen hast? |
ich wieder... wie kann ich hier bei internen mails einen anhang mitschicken? Gepackt ist es, mit winrar. Das mit der Website ist so ein Problem... ich hab den Verlauf gelöscht. Da ich den ganzen Tag auf der suche nach solch einem Programm gewesen bin und mehrere Alternativen getestet habe, kann ich das nicht mehr rekonstruieren. Der Autor von dem Programm steht allerdings in den Programmeigenschaften. Reicht dir das zunächst aus? |
Zitat:
Normalerweise steht unten, wenn du eine Email verschickst "Datei(en) anhängen" o.Ä. Zitat:
|
Datei anhängen ist klar, aber an welche email addy geht es dann? Downloadseite unbekannt, wie immer. Ich kam über ein Forum dahin... |
Steht in meinem Profil. ;) Zitat:
|
post ist da |
Danke, ich schicke das Packet den AV-Labs und melde mich, was dabei herraus kommt. ;) Führe bitte auf dem infiziertem Rechner noch das aus: ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. (ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix) |
so, ich hab ccleaner durchgeführt... ich kann ComboFix nicht starten, nicht Vista kompatibel |
Es geht auch anders: 1.) Erstelle ein regelkonformes Logfile mit HijackThis und poste es hier. 2.) Blacklight scannen lassen
Sophos scannen lassen
Gmer scannen lassen Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.
3.) MalwareBytes Anti-Malware:
|
So, nachdem ich nun fleissig Daten gesammelt habe, hier mal alle Informationen. Zunächst, zu 1) HiJackthis post, hängt dran. zu 2) F Secure Blacklight hängt auch dran. Sophos geht nicht, weil nicht Vista fähig. Gmer hat funktioniert, allerdings liessen sich unter dem Tab Rootkit/ Malware lediglich die Punkte "Services, Registry, Files und ADS" anhaken. "Show all" sollte nicht, ging auch nicht, wegen ausgegraut. Log hängt auch dran. zu 3) MalwareBytes Anti Malware hängt auch dran. HiJackThis Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:03:03, on 28.10.2008 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Windows\SysWOW64\conime.exe C:\Program Files (x86)\Mozilla Firefox\firefox.exe C:\Program Files (x86)\Avira\Avira Premium Security Suite\avgnt.exe C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = F2 - REG:system.ini: UserInit=userinit.exe O1 - Hosts: ::1 localhost O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Program Files (x86)\AskPBar\bar\1.bin\ASKPBAR.DLL O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\Avira Premium Security Suite\avgnt.exe" /min O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" /install /silent O4 - Global Startup: Trojan Guarder Gold Version.lnk = C:\Program Files (x86)\Trojan Guarder Gold Version\Trojan Guarder.exe O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~2\Java\JRE16~1.0_0\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~2\Java\JRE16~1.0_0\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6\ICQ.exe O13 - Gopher Prefix: O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files (x86)\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing) O23 - Service: Avira Premium Security Suite Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files (x86)\Avira\Avira Premium Security Suite\sched.exe O23 - Service: Avira Premium Security Suite Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\Avira Premium Security Suite\avguard.exe O23 - Service: Avira Premium Security Suite WebGuard (antivirwebservice) - Avira GmbH - C:\Program Files (x86)\Avira\Avira Premium Security Suite\AVWEBGRD.EXE O23 - Service: Avira Premium Security Suite MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Program Files (x86)\Avira\Avira Premium Security Suite\avesvc.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files (x86)\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files (x86)\CyberLink\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing) O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing) O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing) O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: NMSAccessU - Unknown owner - C:\Program Files (x86)\CDBurnerXP\NMSAccessU.exe O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files (x86)\Cyberlink\Shared files\RichVideo.exe O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing) O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing) O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing) O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing) O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing) O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing) O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing) O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing) O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing) O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing) -- End of file - 6968 bytes Blacklight 10/28/08 16:24:11 [Info]: BlackLight Engine 2.2.1092 initialized 10/28/08 16:24:11 [Info]: OS: 6.0 build 6001 (Service Pack 1) 10/28/08 16:24:11 [Note]: 7019 4 10/28/08 16:24:11 [Note]: 7005 0 10/28/08 16:24:15 [Note]: 7006 0 10/28/08 16:24:15 [Note]: 7027 0 10/28/08 16:24:15 [Note]: 7035 0 10/28/08 16:24:15 [Note]: 7026 0 10/28/08 16:24:16 [Note]: 7026 0 10/28/08 16:24:17 [Note]: FSRAW library version 1.7.1024 10/28/08 16:24:34 [Note]: 4015 96920 10/28/08 16:24:34 [Note]: 4027 96920 196608 10/28/08 16:24:34 [Note]: 4020 96899 196608 10/28/08 16:24:34 [Note]: 4018 96899 196608 10/28/08 16:24:50 [Note]: 4015 116803 10/28/08 16:24:50 [Note]: 4027 116803 1441792 10/28/08 16:24:50 [Note]: 4020 274 65536 10/28/08 16:24:50 [Note]: 4018 274 65536 10/28/08 16:25:16 [Note]: 4015 2062 10/28/08 16:25:16 [Note]: 4027 2062 65536 10/28/08 16:25:16 [Note]: 4020 719 65536 10/28/08 16:25:16 [Note]: 4018 719 65536 10/28/08 16:25:41 [Note]: 4015 2062 10/28/08 16:25:41 [Note]: 4027 2062 65536 10/28/08 16:25:41 [Note]: 4020 719 65536 10/28/08 16:25:41 [Note]: 4018 719 65536 10/28/08 16:25:45 [Note]: 4015 2062 10/28/08 16:25:45 [Note]: 4027 2062 65536 10/28/08 16:25:45 [Note]: 4020 719 65536 10/28/08 16:25:45 [Note]: 4018 719 65536 10/28/08 16:25:49 [Note]: 4015 2062 10/28/08 16:25:49 [Note]: 4027 2062 65536 10/28/08 16:25:49 [Note]: 4020 719 65536 10/28/08 16:25:49 [Note]: 4018 719 65536 10/28/08 16:26:10 [Note]: 4015 2877 10/28/08 16:26:10 [Note]: 4027 2877 65536 10/28/08 16:26:10 [Note]: 4020 719 65536 10/28/08 16:26:10 [Note]: 4018 719 65536 10/28/08 16:32:40 [Note]: 2000 1012 10/28/08 16:32:54 [Note]: 7007 0 Gmer GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2008-10-28 17:01:28 Windows 6.0.6001 Service Pack 1 ---- Registry - GMER 1.0.14 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\00158307cc94 Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\00158307cc94 ---- EOF - GMER 1.0.14 ---- MalwareBytes AntiMalware Malwarebytes' Anti-Malware 1.30 Datenbank Version: 1332 Windows 6.0.6001 Service Pack 1 28.10.2008 18:01:04 mbam-log-2008-10-28 (18-01-04).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 145303 Laufzeit: 54 minute(s), 30 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Keine anderen Log files da... Nur nochmal zum Verständniss, der Trojaner war auf dem Stick (Laufwerk D) erkannt worden. Den Stick hatte ich während der gesamten Scan Phase am USB angesteckt. mfg al borland |
Sieht relativ gut aus. Hattest du Probleme mit ZBot bzw. der ntos.exe? |
Hm, also diese beiden Datei namen sagen mir nicht viel. Das System ist jetzt knappe drei wochen alt. Ich bin manchmal etwas grau im Kopf, aber ich hatte bis dato keinerlei probleme angezeigt. Ich nutze den Router der Fritzbox, den Windows Defender und die Windows Firewall, ich bin mit Firefox im I-net. Natürlich alles mit frischen updates. Mir ist bisher nichts angezeigt worden, ausser diese Win32/ Agent Warnung. Und das ausschliesslich auf dem Stick. |
Ich bezweifle, dass du infiziert worden bist, da du ja ein 64bit System besitzt und die meisten Schädlinge darauf nicht kompatibel sind. Ich denke, du bist mit einem blauen Auge davongekommen. ;) |
Also zunächst mal danke, das Du deinen nachmittag bis jetzt mit mir verbracht hast. Das ging ja wie am Fliessband. Abschliessend ist für mich interessant zu wissen, ob ich diese exe Dateien einsetzen kann. Natürlich könnte ich sie löschen... Aber das wäre dann eben nur die einfache Alternative, ich bin mit der Funktionsweise aus dem Stick Menü ganz zufrieden. Deswegen würde ich sie gern weiternutzen... |
Kein Problem, ehrlich gesagt, würde ich mich von dem Programm verabschieden. Das VT-Ergebnis spricht da für sich. Am besten suchst du dir eins, von einer vertrauenswürdigen Seite. Sie sollte auf jedenfall ein Impressum enthalten. |
kann es ein methodisches Problem sein? wie gesagt, ich hatte gelesen, das es damit schon häufiger auffällige ergebnisse gegeben hat. Also ich meine, dann könnte es doch sein, das es mit anderen Programmen auch passiert?! |
Ich glaube nicht, das es an der Art des Programmes liegt. |
ok, ich werd mich nach einem alternativ programm umschauen... |
Ich hänge hier gleich nochmal ne Frage an. Obwohl es nicht direkt hierher passt. Also mit dem Fritzbox Router und dem MS Windows Paket (Defender/ Firewall) und Avira Premium Security Suite bin ich im laufenden Betrieb unterwegs. Ausserdem nutze ich Firefox. Für regelmäßige Überprüfungen benutze ich ausserdem a squared ad aware spybot s& d und von Mc Affee Avert den stinger ich würde das Programm jetzt noch um F Secure Blacklight Gmer und Malwarebytes Anti-Malware erweitern. Zu ängstlich oder sinnvoll um alle Bedrohungen abzudecken? Noch was... ich hab hier von dem selben Autor ein anderes Konverter Programm entdeckt. computerbild.de/download/hersteller/Fatih_Kodak_2345611.html Ist der selbe Software Autor. Aber eine Vertrauenswürdige Site? Kann ein Download von so einer Site potenziell gefährlich sein? N Impressum wäre vorhanden...:-) |
Zitat:
Avira reicht vollkommen als permanente Virenklingel und MBAM ist bestens geeignet für gelegentliches Scannen, mehr braucht man definitiv nicht. Zitat:
Spaß beiseite, du kannst es ja bei Virustotal überprüfen lassen, bevor du eine solche .exe ausführst. |
Danke für Deine umfangreiche Hilfe. Die Step by Step Anleitungen haben es anschlaulich gemacht und den Ablauf vereinfacht... |
Hallo Silent, ich wäre ja nicht ich, wenn ich mich nicht nochmal melden würde... :-) Also, ich hab mir ne anderes Programm gesucht, Quick Batch File Compiler. Hier ist der Download her... battoexe.com/ War alles easy, Virustotal sagt clean. Den Compiler benutzt, bat in exe umgewandelt, der Windows Defender sagt, alles grün. Hm, Virustotal aber nicht... Virustotal sagt: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.10.28.3 2008.10.29 Win-Trojan/Xema.variant AntiVir 7.9.0.10 2008.10.29 - Authentium 5.1.0.4 2008.10.29 W32/Backdoor2.DAUQ Avast 4.8.1248.0 2008.10.29 - AVG 8.0.0.161 2008.10.29 - BitDefender 7.2 2008.10.29 - CAT-QuickHeal 9.50 2008.10.29 - ClamAV 0.93.1 2008.10.29 Trojan.Startpage-773 DrWeb 4.44.0.09170 2008.10.29 Trojan.StartPage.21579 eSafe 7.0.17.0 2008.10.29 - eTrust-Vet 31.6.6179 2008.10.29 - Ewido 4.0 2008.10.29 - F-Prot 4.4.4.56 2008.10.29 W32/Backdoor2.DAUQ F-Secure 8.0.14332.0 2008.10.29 - Fortinet 3.117.0.0 2008.10.28 - GData 19 2008.10.29 - Ikarus T3.1.1.44.0 2008.10.29 Trojan-Dropper.Qhost.PK K7AntiVirus 7.10.511 2008.10.29 Trojan-Downloader.Win32.Qhost.c Kaspersky 7.0.0.125 2008.10.29 - McAfee 5417 2008.10.28 - Microsoft 1.4005 2008.10.29 - NOD32 3566 2008.10.29 - Norman 5.80.02 2008.10.29 - Panda 9.0.0.4 2008.10.29 Suspicious file Und jetzt kommst du... :-)) |
So, Schicke die Datei zu Avira => Submit your Sample Wichtig ist, dass du bei der Option Typ auf Verdacht auf Fehlalarm stellst. Avira wird dich innerhalb von 2 Tagen per Email benachrichtigen, wenn die Analyse fertig ist. ;) |
Hallo, so ich hab jetzt einige Infos um dieses Thema wohl zum Abschluss zu bringen. Ich hab nochmal einiges ausprobiert. Die exe Dateien die mir das letzte Programm erstellt hatte (Quick Batch File Compiler), wurden von den Windows eigenen Mitteln (Defender, Firewall) nicht gemeldet. Wohl aber wieder von Virustotal und Jotti. Ich hab die Dateien dann gezippt und zu Avira geschickt, beide Dateien wurde mit clean eingestuft. Sind die online scanner zu ungenau/ zu sensibel oder warum bekomme ich nur dort, eine Viruswarnung? Wäre klasse, hierzu nochmal eine Meinung zu bekommen, danach wäre das Thema dann nämlich für mich geklärt und der Thread könnte zu gemacht werden... Danke Al Borland |
eigentlich werden alle batch2exe-Dateien als infiziert gemeldet, es liegt offensichtlich lediglich an den Programmen, die man dazu benutzt, denn auf den eigentlichen Zweck des Programmes kommt es nicht an. Meiner Meinung nach sind die Ergebnisse von Jotti und Virustotal nicht immer aussagekräftig, das bezieht sich nicht lediglich auf diesen Fall, sondern ist allgemein gemeint. :) |
Hallo Heike, danke für Deine schnelle Reaktion. Deine Antwort (er)klärt eigentlich den Ursprung meines Problems... Hattest du meine einstiegsfrage gelesen? Ich hatte bereits in anderen Foren auch schon gelesen, das derlei kompilierte Dateien häufig erkannt werden als Schadware. Ich konnte es bei der Vielzahl der unterschiedlichen Ergebnisse, von verschiedenen Quellen nicht richtig deuten. Einige Scanner erkannten garnichts, andere widerrum hatten eindeutige Ergebnisse... Ich geh also in meinem beschriebenen Fall davon aus, das die Online Scanner hier nicht richtig justiert gewesen sind. Danke für die Auskunft Al Borland p.s. Problem gelößt= Fragesteller glücklich :daumenhoc |
Alle Zeitangaben in WEZ +1. Es ist jetzt 15:18 Uhr. |
Copyright ©2000-2024, Trojaner-Board