Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner-Warnung / "ab wann" ist eine infizierte Datei schädlich? (https://www.trojaner-board.de/83329-trojaner-warnung-ab-infizierte-datei-schaedlich.html)

Mr. F 25.02.2010 20:12
Trojaner-Warnung / "ab wann" ist eine infizierte Datei schädlich?
 
Eine guten Abend miteinander,

ich habe folgendes Problem / folgende Frage:

Ich habe mir über die Homepage von Chip.de eine (als bereits virengeprüft ausgewiesene) Datei heruntergeladen, um neue Themes in Windows Vista installiern zu können.

Nach dem Download führte AntiVir bei mir automatisch die Virenprüfung der Datei durch und erkannte diese als den Trojaner "tr/agent.871274.a".
Als Konsequenz habe ich die Datei sofort von AntiVir löschen lassen und nach einer weiteren Trojaner-Meldung das gleiche mit der temp-Datei (vom Download) gemacht.

Fragen nun:

1)
Könnte es sich nicht einfach nur um eine Falschmeldung handeln? (da es sich ja um eine angeblich von Chip bereits geprüfte Datei handelt)

2)
Ist allein die Tatsache, dass ich das Ding einmal auf dem Rechner hatte schon ein Sicherheitsrisiko, oder bin ich durch das sofortige Löschen auf der sicheren Seite?

3)
Leider habe ich bei Google zu diesem Trojaner nichts finden können. Ist ggf. jemandem bekannt, was genau dieser anrichtet?

Ich bedanke mich schonmal vorab für eure Hilfe!

MfG -F-

.keNNy# 25.02.2010 20:25
Hallo und :hallo:
Kannst du mir den Link zu dem Download mal bitte per PN schicken?
Um deine Fragen zu beantworten:
a) Lade die Datei mal bei VirusTotal hoch.
Poste das Ergebnis.
b) Sofern du die Datei nicht ausgeführt hast dürfte nichts passiert sein.
Wenn du dennoch unsicher bist und spaß hast Antivir schuften zu lassen
dann führe einen kompletten Systemscan mit aggressiven Einstellungen durch.
c) Keine Ahnung;) Ne Abwandlung vom TR/Agent denke ich:kloppen:

.keNNy#

Mr. F 25.02.2010 21:00
Ok, ich glaube ich führe ich den aggressiven Scan vorsichtshalber mal aus...


Hier das Ergebnis von VirusTotal:


Datei vUXTender.exe empfangen 2010.02.25 19:57:07 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 15/42 (35.72%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.02.25 Trojan.Agent!IK
AhnLab-V3 5.0.0.2 2010.02.25 -
AntiVir 8.2.1.172 2010.02.25 TR/Agent.871274.A
Antiy-AVL 2.0.3.7 2010.02.25 -
Authentium 5.2.0.5 2010.02.25 -
Avast 4.8.1351.0 2010.02.25 -
Avast5 5.0.332.0 2010.02.25 -
AVG 9.0.0.730 2010.02.25 Worm/Autoit.CKC
BitDefender 7.2 2010.02.25 -
CAT-QuickHeal 10.00 2010.02.25 -
ClamAV 0.96.0.0-git 2010.02.25 -
Comodo 4062 2010.02.25 Worm.Win32.AutoIt.~NUP
DrWeb 5.0.1.12222 2010.02.25 -
eSafe 7.0.17.0 2010.02.25 -
eTrust-Vet 35.2.7328 2010.02.25 -
F-Prot 4.5.1.85 2010.02.25 -
F-Secure 9.0.15370.0 2010.02.25 -
Fortinet 4.0.14.0 2010.02.25 -
GData 19 2010.02.25 -
Ikarus T3.1.1.80.0 2010.02.25 Trojan.Agent
Jiangmin 13.0.900 2010.02.25 -
K7AntiVirus 7.10.983 2010.02.25 Trojan.Win32.Malware.3
Kaspersky 7.0.0.125 2010.02.25 -
McAfee 5903 2010.02.25 Generic.dx
McAfee+Artemis 5903 2010.02.25 Generic.dx
McAfee-GW-Edition 6.8.5 2010.02.25 Trojan.Agent.871274.A
Microsoft 1.5502 2010.02.25 -
NOD32 4896 2010.02.25 -
Norman 6.04.08 2010.02.25 Suspicious_Gen2.SCSI
nProtect 2009.1.8.0 2010.02.25 -
Panda 10.0.2.2 2010.02.25 -
PCTools 7.0.3.5 2010.02.25 -
Prevx 3.0 2010.02.25 Medium Risk Malware
Rising 22.34.01.03 2010.02.11 -
Sophos 4.50.0 2010.02.25 Mal/Generic-A
Sunbelt 5698 2010.02.25 -
Symantec 20091.2.0.41 2010.02.25 Suspicious.ADH
TheHacker 6.5.1.6.211 2010.02.25 Trojan/Dropper.gen
TrendMicro 9.120.0.1004 2010.02.25 WORM_Generic.DIT
VBA32 3.12.12.2 2010.02.25 -
ViRobot 2010.2.25.2202 2010.02.25 -
VirusBuster 5.0.27.0 2010.02.25 -
weitere Informationen
File size: 871274 bytes
MD5...: 8fbddb5809f95734a068fd9b4e416cee
SHA1..: 85d0a6565e197fc5fa80e1b8ba9faa692b6788ec
SHA256: 0eab273a714166bc958cca1adf3843ed3cdb96380956983c22facdbd319ba604
ssdeep: 12288:bSNC80I+cR3R03Vse2D/kL2PAvkbqQW8/cCxPo2/hL3Vu5Lvs6jKBASViD
7qfEY9:b4ChZcRi3Vse+MKlL/B/N4hv3qVM0r
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x97fc0
timedatestamp.....: 0x482d38ba (Fri May 16 07:33:14 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x5d000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x5e000 0x3b000 0x3a200 7.93 66a71051acac1ec4aa52c33a5c23782b
.rsrc 0x99000 0x3000 0x2800 5.20 54c292722aa8aa4e0bfa65f6d7cf6009

( 13 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> ADVAPI32.dll: RegCloseKey
> COMCTL32.dll: ImageList_Create
> comdlg32.dll: GetSaveFileNameW
> GDI32.dll: LineTo
> MPR.dll: WNetUseConnectionW
> ole32.dll: CoInitialize
> OLEAUT32.dll: -
> SHELL32.dll: DragFinish
> USER32.dll: GetDC
> VERSION.dll: VerQueryValueW
> WINMM.dll: timeGetTime
> WSOCK32.dll: -

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
sigcheck:
publisher....: n/a
copyright....: Damian666 _ Marxo - Windows Project Community
product......: n/a
description..: Vista SP1 uxtheme patch
original name: n/a
internal name: n/a
file version.: 1.0.0.0
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
packers (Kaspersky): PE_Patch.UPX, UPX
packers (F-Prot): UPX
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=7989C6DF6AD7E3C94B580DEE186F7400BA27DFFD' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=7989C6DF6AD7E3C94B580DEE186F7400BA27DFFD</a>

.keNNy# 25.02.2010 21:03
Mach das:P
Wichtig ist aber das du nich gleich bei den Funden auf Löschen klickst.
Mit hoch eingestellter Heuristik können mehr Fehlalarme produziert werden.
Ich habe die Datei mal an Avira zur Analyse geschickt.

.keNNy#

Mr. F 25.02.2010 22:07
Der Vollständigkeit halber jetzt noch das Ergebnis der AntiVir Prüfung:

Die besagte Datei wurde noch einmal im Browser-Cache des Firefox gefunden und von dort entfernt. Ansonsten keine Funde.

MfG -F-


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:52 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28