Habe ausversehen eine EXE ausgeführt und weiss nicht was diese macht.

#0
23.07.2004, 15:09
Member

Beiträge: 12
#1 Hi,

ich Trottel hab auf ne EXE geklickt die ich per E-Mail bekommen habe.
Ich ´mach sowas eigentlich nie aber ich weiss auch nicht was da in mich gefahren ist.

Als ich die EXE gestartet habe (81kb gross) kam am Ende eine Meldung "You are Owend by XXX" dann konnte ich noch mit OK bestätigen.
Mehr ist dann nicht passiert. Ich frag mich jetzt aber wirklich was diese EXE gemacht hat oder obs nur ein Fake ist. Ich hab schon alle möglichen Viren Killer drüber laufen lassen aber die haben nichts gefunden.
Ich hab Kaspersky, McAfee, Norton usw.... durch laufen lassen.

Diese EXE ist wohl mit FSG gepackt worden.... Wie kann ich mir den Inhalt von der EXE Datei genauer anschauen ? Oder kann ich die vielleicht jemanden schicken der mir sagen kann was das Ding nun genau macht ?

Ich habe mir schon sämtliche Prozesse angeschaut die bei mir laufen... Da ist kein neuer dazu gekommen... Winlog in der Registry hab ich auch schon geschaut da ist auch nichts neues eingetragen.

Hoffe jemand kann mir helfen bzw.. weiss wie ich das Teil dekompilieren kann um mal zu schauen was da so drinne ist bzw. was die macht.

PS: Mit Hijackthis hab ich mir auch schon alles angeschaut... Ist nichts verdächtiges drinne.... Wie gesagt das könnte auch ein Fake sein aber ich glaub da nicht drann... Irgendwas macht diese verdammte EXE nur ist die frage was...

Gruß

gizmo
Dieser Beitrag wurde am 23.07.2004 um 15:17 Uhr von gizmo79 editiert.
Seitenanfang Seitenende
23.07.2004, 15:30
Moderator
Avatar joschi

Beiträge: 6466
#2 1. Poste bitte den Name der Datei und
2- ein Hijack-Log
Datei unter http://www.kaspersky.com/remoteviruschk.html schon geprüft ?

Ein Mailclient sollte desweiteren niemals eine Datei sofort ausführen, wenn diese angeklickt wird, speziell bei potentiell gefährlichen Dateien muss eine Warnmeldung erscheinen. Evtl nur eine Einstellungssache.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
23.07.2004, 15:36
Member

Themenstarter

Beiträge: 12
#3 1. Datei heisst start.exe

2. Hijacklog:

Logfile of HijackThis v1.97.7
Scan saved at 15:33:28, on 23.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\GEARSec.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\RegSrvc.exe
c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\WINDOWS\System32\WFXSVC.EXE
C:\Programme\WinFax\WFXMOD32.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\TpShocks.exe
C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\WinFax\WFXSWTCH.exe
C:\WINDOWS\System32\wfxsnt40.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Meaya\Popup Ad Filter\PopFilter.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Gizmo\Desktop\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [BMMLREF] C:\Programme\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [BMMMONWND] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WFXSwtch] C:\PROGRA~1\WinFax\WFXSWTCH.exe
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Popup Ad Filter] C:\Programme\Meaya\Popup Ad Filter\PopFilter.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,83/mcinsctl.cab
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - https://www-3.ibm.com/pc/support/access/aslibmain/content/IbmEgath.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38184.2461921296
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,20/mcgdmgr.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E598AC61-4C6F-4F4D-877F-FAC49CA91FA3} (acpRunner Class) - https://www-3.ibm.com/pc/support/access/aslibmain/content/AcpControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{70886482-B4C5-4729-9116-02032201EE01}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{70886482-B4C5-4729-9116-02032201EE01}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{70886482-B4C5-4729-9116-02032201EE01}: NameServer = 192.168.0.1

Da ist aber nichts drinne wie man sieht...

3. Kaspersky hab ich schon durch laufen lassen.

Ich weiss das mit dem Mailclient, ich hab das ja auch so eingestellt das er alles mögliche Filtert... Ich wollte die Datei ja eigentlich auch löschen.....
Ich makiere die Files immer die ich löschen will und drücke dann ENTF und danach gleich ENTER.. Ich hab diesesmal wohl zu schnell ENTER gedrückt ;)
Dieser Beitrag wurde am 23.07.2004 um 15:38 Uhr von gizmo79 editiert.
Seitenanfang Seitenende
23.07.2004, 15:36
Member

Beiträge: 1095
#4 @gizmo

Check die Datei mal hier, damit wir wissen, mit was wirs zu tun haben.
http://www.kaspersky.com/de/remoteviruschk.html

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 23.07.2004 um 15:36 Uhr von paff editiert.
Seitenanfang Seitenende
23.07.2004, 15:39
Member

Themenstarter

Beiträge: 12
#5 Zu überprüfende Datei: start.exe

start.exe - packed with FSG
start.exe Ok


Statistiken:
Bekannte Viren: 93770 Updated: 23-07-2004
Größe der Datei (Kb): 82 Viren-Korpus: 0
Datei: 2 Warnungen: 0
Archive: 0 Verdächtigt: 0


Das kam dabei raus... Also nichts... Aber ich weiss 100% bzw. kann mir nicht vorstellen das das Ding NICHTS macht...

Gibts nicht irgend eine Möglichkeit um mal in die EXE rein zu schauen was die so macht ?
Dieser Beitrag wurde am 23.07.2004 um 15:42 Uhr von gizmo79 editiert.
Seitenanfang Seitenende
23.07.2004, 15:43
Member

Beiträge: 1095
#6 @gizmo

Schick die Datei bitte an virus@protecus.de
Schreib auch einen Link auf diesen Thread mit in die EMail

Desweitern hats hier jede Menge OnlineChecks
http://board.protecus.de/t8128.htm

Probier die mal durch , dein Virus ist wahrscheinlich zu neu den erkennt noch keiner ;)

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
23.07.2004, 15:49
Member

Themenstarter

Beiträge: 12
#7 ok, danke, habe die Datei mal an die von dir genannte Adresse geschickt....
Seitenanfang Seitenende
23.07.2004, 15:51
Member

Beiträge: 1095
#8

Zitat

gizmo79 postete
ok, danke, habe die Datei mal an die von dir genannte Adresse geschickt....
Alles klar, dann warten wir mal ab ;)

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
23.07.2004, 15:55
Member

Themenstarter

Beiträge: 12
#9 jo, hoffe nur nicht zu lange, irgendwie kein gutes gefühl wenn man nicht weiss was man da für ein mist gestartet hat....
Seitenanfang Seitenende
23.07.2004, 16:00
Member

Beiträge: 1095
#10 @gizmo

Ich glaube das ist der "Bösewicht"
C:\WINDOWS\System32\RegSrvc.exe

Das müßte eigentlich
C:\WINDOWS\System32\RegSvc.exe
heißen

Scheint der hier zu sein
http://www.hacksoft.com.pe/virus/w32_gaobot_ee.htm

oder hier
http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.gaobot.ee.html

Check auch mal.
Schau mal unter systemsteuerung/verwaltung/dienste

welcher Dienst startet die RegSrvc.exe Datei

Wenn Fragenb sind einfach posten
Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 23.07.2004 um 16:03 Uhr von paff editiert.
Seitenanfang Seitenende
23.07.2004, 16:03
Member

Themenstarter

Beiträge: 12
#11 hmmm.... das muss ich mir mal genau anschauen....
Die frage ist allerdings warum dann die VirenKiller nicht drauf anspringen...

Ich schau mir das mal an..

Edit:

Also ich hab hier nen Dienst der Regsrvc heisst. Hast du den auch bei dir unter Dienste ?
Ich hab das ding jetzt mal angehalten und auf Manuell gestellt.
Bis jetzt ist nichts weiter passiert.....
Wenn du das Ding nicht bei dir hast werd ich den kompletten Dienst raus schmeissen, aber sol lange lass ich den noch auf Manuell....

Ich hab auch mal geschaut was der von dir gepostet Virus machen soll...
Die Änderungen in der Registry konnte ich nicht feststellen....
Wenn das der Virus sein sollte dann ist der aber kräftig Manipuliert worden..
Dieser Beitrag wurde am 23.07.2004 um 16:16 Uhr von gizmo79 editiert.
Seitenanfang Seitenende
23.07.2004, 16:31
Member

Beiträge: 1095
#12 @gizmo
Also hab Win 2000 du hast wahrscheinlich WinXp

Der Dienst heißt bei die "Regsrvc"

Sonst keien Beschreibung kein nichts. Stell ihn auf jedenfall auf deaktiviert.

Die 2 Link zu gaobot sind wohl nur grober Anhaltspunkt.
Diese sche**** Bots ändern sich täglich.

Hats du eigentlich noch den Dienst "Remote-Registrierungsdienst"
Die C:\WINDOWS\System32\RegSvc.exe gehört zu dem oder hat der Virus vielleicht den Dienst "überschrieben"

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
23.07.2004, 16:39
Member

Themenstarter

Beiträge: 12
#13 Also den Remote Dienst hab ich noch, nur wird der bei mir über die RegSvr32.exe gestartet. Ich denke das wird schon der orginal von M$ sein.

Also ich hab jetzt den ganzen anderen Mist gekillt inkl. Dienst.....
Aber ich glaub nicht das diese start.exe da wirklich für verantwortlich war denn ich hab das Ding danach nochmal gestartet und eigentlich müsste die sich ja wieder genauso eintragen, hat sie aber nicht gemacht.. Ich hab nach dem ich die start.exe nochmal ausgeführt hatte mir alle Dienste bei mir angeschaut. Ist aber keiner dazu gekommen....
Es könnte sein das die Regsrvc.exe und der Dienst von nem anderen Virus stammt den ich mir eingefangen hatte..... Jedenfalls ist das ding jetzt Geschichte.

Gibts denn keine Möglichkeit das ich mir diese start.exe mal dekompilieren kann ?? Dann kann ich mal selber rein schauen was das Schei... ding macht.
Mit nem Hex Editor sieht man ja sogut wie nichts.....
Dieser Beitrag wurde am 23.07.2004 um 16:41 Uhr von gizmo79 editiert.
Seitenanfang Seitenende
23.07.2004, 16:58
Member

Beiträge: 1095
#14

Zitat

gizmo79 postete
Gibts denn keine Möglichkeit das ich mir diese start.exe mal dekompilieren kann ?? Dann kann ich mal selber rein schauen was das Schei... ding macht.
Mit nem Hex Editor sieht man ja sogut wie nichts.....
Decompiler gibts viele, nur glaube ich nicht das du viel sehen wirst.
Am besten www.google.de

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
23.07.2004, 17:04
Member

Themenstarter

Beiträge: 12
#15 Das ist die Antwort von Rokop Security:

Hallo gismo,

Gismo wrote:

> Ich habe heute diese Datei bekommen.
> Ich depp hab das Ding leider ausgeführt.. bzw... Unbeabsichtig.

Die Datei ist FSG2.0 gepackt, wie du sagtest, das reicht schon um verdaechtig zu sein.

Das kann man da auch noch sehen:

font face="Fixedsys" size="5" color="#FF00FF">Microsoft Windows is bad... Try Linux ;) WeB 0wn y0ur b0x ! C:/ Program Files/EasyPHP1-7/www InetPub/wwwroot WeB

Wir haben die Datei mal eingeschickt. Ma schaen, was dabei raus kommt.

by the way: Was Stand denn in der Email?

MfG Ralf


Ich hab dann mal google angeschmissen und das Problem scheinen wohl mehrer zu haben.... Keiner weiss aber wie man das Ding killen kann oder was es macht.....

Ich bin noch auf der Suche.... Aber der Virus scheint wirklich nagel neu zu sein.

Das hab ich auch noch gefunden:

Fuck that little kid...du me...that virus corrupted my socket file or something and now I can't go online and had to reformat...fucking low life....dumb little kid....I hope you die soon too!!!

Bei mir geht aber noch alles.....
Dieser Beitrag wurde am 23.07.2004 um 17:07 Uhr von gizmo79 editiert.
Seitenanfang Seitenende