Habe ausversehen eine EXE ausgeführt und weiss nicht was diese macht. |
||
---|---|---|
#0
| ||
23.07.2004, 15:09
Member
Beiträge: 12 |
||
|
||
23.07.2004, 15:30
Moderator
Beiträge: 6466 |
#2
1. Poste bitte den Name der Datei und
2- ein Hijack-Log Datei unter http://www.kaspersky.com/remoteviruschk.html schon geprüft ? Ein Mailclient sollte desweiteren niemals eine Datei sofort ausführen, wenn diese angeklickt wird, speziell bei potentiell gefährlichen Dateien muss eine Warnmeldung erscheinen. Evtl nur eine Einstellungssache. __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
||
23.07.2004, 15:36
Member
Themenstarter Beiträge: 12 |
#3
1. Datei heisst start.exe
2. Hijacklog: Logfile of HijackThis v1.97.7 Scan saved at 15:33:28, on 23.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\ibmpmsvc.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\GEARSec.exe c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe C:\WINDOWS\System32\oodag.exe C:\WINDOWS\System32\RegSrvc.exe c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe c:\progra~1\mcafee.com\vso\mcvsescn.exe C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe C:\WINDOWS\System32\WFXSVC.EXE C:\Programme\WinFax\WFXMOD32.EXE C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Analog Devices\SoundMAX\SMTray.exe C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\System32\TpShocks.exe C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\AGRSMMSG.exe C:\PROGRA~1\mcafee.com\agent\mcagent.exe C:\PROGRA~1\WinFax\WFXSWTCH.exe C:\WINDOWS\System32\wfxsnt40.exe C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE C:\WINDOWS\System32\ctfmon.exe C:\PROGRA~1\ICQ\ICQ.exe C:\Programme\Meaya\Popup Ad Filter\PopFilter.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE c:\PROGRA~1\mcafee.com\vso\mcshield.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Gizmo\Desktop\HijackThis.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor O4 - HKLM\..\Run: [BMMLREF] C:\Programme\ThinkPad\Utilities\BMMLREF.EXE O4 - HKLM\..\Run: [BMMMONWND] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor O4 - HKLM\..\Run: [TpShocks] TpShocks.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe" O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [WFXSwtch] C:\PROGRA~1\WinFax\WFXSWTCH.exe O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Popup Ad Filter] C:\Programme\Meaya\Popup Ad Filter\PopFilter.exe O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Recherchieren (HKLM) O9 - Extra button: FlashGet (HKLM) O9 - Extra 'Tools' menuitem: &FlashGet (HKLM) O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,83/mcinsctl.cab O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - https://www-3.ibm.com/pc/support/access/aslibmain/content/IbmEgath.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38184.2461921296 O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,20/mcgdmgr.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E598AC61-4C6F-4F4D-877F-FAC49CA91FA3} (acpRunner Class) - https://www-3.ibm.com/pc/support/access/aslibmain/content/AcpControl.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{70886482-B4C5-4729-9116-02032201EE01}: NameServer = 192.168.0.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{70886482-B4C5-4729-9116-02032201EE01}: NameServer = 192.168.0.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{70886482-B4C5-4729-9116-02032201EE01}: NameServer = 192.168.0.1 Da ist aber nichts drinne wie man sieht... 3. Kaspersky hab ich schon durch laufen lassen. Ich weiss das mit dem Mailclient, ich hab das ja auch so eingestellt das er alles mögliche Filtert... Ich wollte die Datei ja eigentlich auch löschen..... Ich makiere die Files immer die ich löschen will und drücke dann ENTF und danach gleich ENTER.. Ich hab diesesmal wohl zu schnell ENTER gedrückt Dieser Beitrag wurde am 23.07.2004 um 15:38 Uhr von gizmo79 editiert.
|
|
|
||
23.07.2004, 15:36
Member
Beiträge: 1095 |
#4
@gizmo
Check die Datei mal hier, damit wir wissen, mit was wirs zu tun haben. http://www.kaspersky.com/de/remoteviruschk.html Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 23.07.2004 um 15:36 Uhr von paff editiert.
|
|
|
||
23.07.2004, 15:39
Member
Themenstarter Beiträge: 12 |
#5
Zu überprüfende Datei: start.exe
start.exe - packed with FSG start.exe Ok Statistiken: Bekannte Viren: 93770 Updated: 23-07-2004 Größe der Datei (Kb): 82 Viren-Korpus: 0 Datei: 2 Warnungen: 0 Archive: 0 Verdächtigt: 0 Das kam dabei raus... Also nichts... Aber ich weiss 100% bzw. kann mir nicht vorstellen das das Ding NICHTS macht... Gibts nicht irgend eine Möglichkeit um mal in die EXE rein zu schauen was die so macht ? Dieser Beitrag wurde am 23.07.2004 um 15:42 Uhr von gizmo79 editiert.
|
|
|
||
23.07.2004, 15:43
Member
Beiträge: 1095 |
#6
@gizmo
Schick die Datei bitte an virus@protecus.de Schreib auch einen Link auf diesen Thread mit in die EMail Desweitern hats hier jede Menge OnlineChecks http://board.protecus.de/t8128.htm Probier die mal durch , dein Virus ist wahrscheinlich zu neu den erkennt noch keiner Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
23.07.2004, 15:49
Member
Themenstarter Beiträge: 12 |
#7
ok, danke, habe die Datei mal an die von dir genannte Adresse geschickt....
|
|
|
||
23.07.2004, 15:51
Member
Beiträge: 1095 |
#8
Zitat gizmo79 posteteAlles klar, dann warten wir mal ab Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
23.07.2004, 15:55
Member
Themenstarter Beiträge: 12 |
#9
jo, hoffe nur nicht zu lange, irgendwie kein gutes gefühl wenn man nicht weiss was man da für ein mist gestartet hat....
|
|
|
||
23.07.2004, 16:00
Member
Beiträge: 1095 |
#10
@gizmo
Ich glaube das ist der "Bösewicht" C:\WINDOWS\System32\RegSrvc.exe Das müßte eigentlich C:\WINDOWS\System32\RegSvc.exe heißen Scheint der hier zu sein http://www.hacksoft.com.pe/virus/w32_gaobot_ee.htm oder hier http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.gaobot.ee.html Check auch mal. Schau mal unter systemsteuerung/verwaltung/dienste welcher Dienst startet die RegSrvc.exe Datei Wenn Fragenb sind einfach posten Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 23.07.2004 um 16:03 Uhr von paff editiert.
|
|
|
||
23.07.2004, 16:03
Member
Themenstarter Beiträge: 12 |
#11
hmmm.... das muss ich mir mal genau anschauen....
Die frage ist allerdings warum dann die VirenKiller nicht drauf anspringen... Ich schau mir das mal an.. Edit: Also ich hab hier nen Dienst der Regsrvc heisst. Hast du den auch bei dir unter Dienste ? Ich hab das ding jetzt mal angehalten und auf Manuell gestellt. Bis jetzt ist nichts weiter passiert..... Wenn du das Ding nicht bei dir hast werd ich den kompletten Dienst raus schmeissen, aber sol lange lass ich den noch auf Manuell.... Ich hab auch mal geschaut was der von dir gepostet Virus machen soll... Die Änderungen in der Registry konnte ich nicht feststellen.... Wenn das der Virus sein sollte dann ist der aber kräftig Manipuliert worden.. Dieser Beitrag wurde am 23.07.2004 um 16:16 Uhr von gizmo79 editiert.
|
|
|
||
23.07.2004, 16:31
Member
Beiträge: 1095 |
#12
@gizmo
Also hab Win 2000 du hast wahrscheinlich WinXp Der Dienst heißt bei die "Regsrvc" Sonst keien Beschreibung kein nichts. Stell ihn auf jedenfall auf deaktiviert. Die 2 Link zu gaobot sind wohl nur grober Anhaltspunkt. Diese sche**** Bots ändern sich täglich. Hats du eigentlich noch den Dienst "Remote-Registrierungsdienst" Die C:\WINDOWS\System32\RegSvc.exe gehört zu dem oder hat der Virus vielleicht den Dienst "überschrieben" Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
23.07.2004, 16:39
Member
Themenstarter Beiträge: 12 |
#13
Also den Remote Dienst hab ich noch, nur wird der bei mir über die RegSvr32.exe gestartet. Ich denke das wird schon der orginal von M$ sein.
Also ich hab jetzt den ganzen anderen Mist gekillt inkl. Dienst..... Aber ich glaub nicht das diese start.exe da wirklich für verantwortlich war denn ich hab das Ding danach nochmal gestartet und eigentlich müsste die sich ja wieder genauso eintragen, hat sie aber nicht gemacht.. Ich hab nach dem ich die start.exe nochmal ausgeführt hatte mir alle Dienste bei mir angeschaut. Ist aber keiner dazu gekommen.... Es könnte sein das die Regsrvc.exe und der Dienst von nem anderen Virus stammt den ich mir eingefangen hatte..... Jedenfalls ist das ding jetzt Geschichte. Gibts denn keine Möglichkeit das ich mir diese start.exe mal dekompilieren kann ?? Dann kann ich mal selber rein schauen was das Schei... ding macht. Mit nem Hex Editor sieht man ja sogut wie nichts..... Dieser Beitrag wurde am 23.07.2004 um 16:41 Uhr von gizmo79 editiert.
|
|
|
||
23.07.2004, 16:58
Member
Beiträge: 1095 |
#14
Zitat gizmo79 posteteDecompiler gibts viele, nur glaube ich nicht das du viel sehen wirst. Am besten www.google.de Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
23.07.2004, 17:04
Member
Themenstarter Beiträge: 12 |
#15
Das ist die Antwort von Rokop Security:
Hallo gismo, Gismo wrote: > Ich habe heute diese Datei bekommen. > Ich depp hab das Ding leider ausgeführt.. bzw... Unbeabsichtig. Die Datei ist FSG2.0 gepackt, wie du sagtest, das reicht schon um verdaechtig zu sein. Das kann man da auch noch sehen: font face="Fixedsys" size="5" color="#FF00FF">Microsoft Windows is bad... Try Linux WeB 0wn y0ur b0x ! C:/ Program Files/EasyPHP1-7/www InetPub/wwwroot WeB Wir haben die Datei mal eingeschickt. Ma schaen, was dabei raus kommt. by the way: Was Stand denn in der Email? MfG Ralf Ich hab dann mal google angeschmissen und das Problem scheinen wohl mehrer zu haben.... Keiner weiss aber wie man das Ding killen kann oder was es macht..... Ich bin noch auf der Suche.... Aber der Virus scheint wirklich nagel neu zu sein. Das hab ich auch noch gefunden: Fuck that little kid...du me...that virus corrupted my socket file or something and now I can't go online and had to reformat...fucking low life....dumb little kid....I hope you die soon too!!! Bei mir geht aber noch alles..... Dieser Beitrag wurde am 23.07.2004 um 17:07 Uhr von gizmo79 editiert.
|
|
|
||
ich Trottel hab auf ne EXE geklickt die ich per E-Mail bekommen habe.
Ich ´mach sowas eigentlich nie aber ich weiss auch nicht was da in mich gefahren ist.
Als ich die EXE gestartet habe (81kb gross) kam am Ende eine Meldung "You are Owend by XXX" dann konnte ich noch mit OK bestätigen.
Mehr ist dann nicht passiert. Ich frag mich jetzt aber wirklich was diese EXE gemacht hat oder obs nur ein Fake ist. Ich hab schon alle möglichen Viren Killer drüber laufen lassen aber die haben nichts gefunden.
Ich hab Kaspersky, McAfee, Norton usw.... durch laufen lassen.
Diese EXE ist wohl mit FSG gepackt worden.... Wie kann ich mir den Inhalt von der EXE Datei genauer anschauen ? Oder kann ich die vielleicht jemanden schicken der mir sagen kann was das Ding nun genau macht ?
Ich habe mir schon sämtliche Prozesse angeschaut die bei mir laufen... Da ist kein neuer dazu gekommen... Winlog in der Registry hab ich auch schon geschaut da ist auch nichts neues eingetragen.
Hoffe jemand kann mir helfen bzw.. weiss wie ich das Teil dekompilieren kann um mal zu schauen was da so drinne ist bzw. was die macht.
PS: Mit Hijackthis hab ich mir auch schon alles angeschaut... Ist nichts verdächtiges drinne.... Wie gesagt das könnte auch ein Fake sein aber ich glaub da nicht drann... Irgendwas macht diese verdammte EXE nur ist die frage was...
Gruß
gizmo