ComputerBase Menü
Aktuelles

Unsicherheit nach keinem direkten Trojanerbefall

S

StormEagle

Cadet 4th Year
Registriert
Juli 2007
Beiträge
77
Guten Tag!

Bin jetzt in eine etwas peinliche Situation geraten, die mir selbst sehr nachhängt und ich bis jetzt noch nicht verstehe wie ich so unvorsichtig sein konnte.

Ein Kumpel (kenne ihn persönlich schon seit mehreren Jahren) hat gemeint, dass er für ein Spiel eine Modifikation hätte, die ich unbedingt auch mal ausprobieren sollte. War schon skeptisch und habe diese Modifikation natürlich nicht ausprobiert. Zur Vorsicht Kaspersky Virenscanner drüber laufen lassen, kein Fund. Kurz angestartet (mein Fehler vermutlich), Kaspersky gemeckert, die typische 0815-Fehlermeldung eben. Habe den Prozess sofort wieder beendet (effektive Laufzeit ca. 15 Sekunden). Seitdem habe ich diese Datei nicht mehr angerührt. Nun hat er sich heute gemeldet und hat gemeint, dass sein Steam-Account weg sei und dass er denkt, dass es an dieser Modifkation lege. Ich habe die Datei irgendwo auf meiner Festplatte noch rumschwirren gehabt und habe diese daraufhin auf www.virustotal.com hochgeladen. Natürlich Fund positiv!

Log hier:
Code: 
Antivirus Version Last Update Result
a-squared 4.0.0.101 2009.03.19 Trojan.Generic!IK
AhnLab-V3 5.0.0.2 2009.03.19 Win-Trojan/Xema.variant
AntiVir 7.9.0.120 2009.03.19 -
Authentium 5.1.2.4 2009.03.19 W32/Injector.A.gen!Eldorado
Avast 4.8.1335.0 2009.03.19 -
AVG 8.5.0.283 2009.03.19 -
BitDefender 7.2 2009.03.19 Trojan.Generic.738017
CAT-QuickHeal 10.00 2009.03.19 Trojan.Agent.IRC
ClamAV 0.94.1 2009.03.19 -
Comodo 1066 2009.03.18 Joke.Win32.Generic.B
DrWeb 4.44.0.09170 2009.03.19 -
eSafe 7.0.17.0 2009.03.19 Win32.Downloader
eTrust-Vet 31.6.6388 2009.03.09 -
F-Prot 4.4.4.56 2009.03.19 W32/Injector.A.gen!Eldorado
F-Secure 8.0.14470.0 2009.03.19 -
Fortinet 3.117.0.0 2009.03.19 -
GData 19 2009.03.19 Trojan.Generic.738017
Ikarus T3.1.1.48.0 2009.03.19 Trojan.Generic
K7AntiVirus 7.10.676 2009.03.19 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.03.19 -
McAfee 5558 2009.03.19 -
McAfee+Artemis 5558 2009.03.19 -
McAfee-
GW-Edition 6.7.6 2009.03.19 -
Microsoft 1.4502 2009.03.19 -
NOD32 3948 2009.03.19 probably a variant of
Win32/Agent
Compact
VirusTotal - Free Online Virus and Malware Scan - Result http://www.virustotal.com/analisis/2fd2c9d8d46febc04e4c9b008e775c1e
1 von 3 19.03.2009 22:15
Norman 6.00.06 2009.03.19 W32/DLoader.NSHE
nProtect 2009.1.8.0 2009.03.19 Trojan/W32.Agent.67072.Z
Panda 10.0.0.10 2009.03.19 Trj/Agent.GPP
PCTools 4.4.2.0 2009.03.19 -
Prevx1 V2 2009.03.19 -
Rising 21.21.32.00 2009.03.19 -
Sophos 4.39.0 2009.03.19 -
Sunbelt 3.2.1858.2 2009.03.19 -
Symantec 1.4.4.12 2009.03.19 Downloader
TheHacker 6.3.3.0.286 2009.03.19 -
TrendMicro 8.700.0.1004 2009.03.19 PAK_Generic.001
VBA32 3.12.10.1 2009.03.18 -
ViRobot 2009.3.19.1656 2009.03.19 -
VirusBuster 4.6.5.0 2009.03.19 -
Additional information
File size: 67072 bytes
MD5...: 84a14ed557597d25a98ae2c7043e7f86
SHA1..: d9da927d136be806728b1f78f91f00d01ea59f52
SHA256: 427a3fb6206237f0179e667735450dac5527eb3718d3c6fd326794d04aeb1b5d
SHA512: 8ad1456e4b4bb35566e6c827916b3131feaba2653d019e0efaeb19b5fd0be3e6
aa92b83f805e2140855f7c5a010f7e8d9ddb2b42ceb2ab60084d3044209485bf
ssdeep: 1536:fDddoSFqglzHnp8lT0Gw5a7tLMiUaCcbk:bDhFqglF8l/w5a7adaCg
PEiD..: ASPack v2.12
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x41001
timedatestamp.....: 0x45026e6d (Sat Sep 09 07:34:05 2006)
machinetype.......: 0x14c (I386)
( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
.textbss 0x1000 0x10000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.text 0x11000 0x16000 0x7400 7.99 d53690c57252167eebb641315ddf5d3d
.rdata 0x27000 0x4000 0xe00 7.79 efc52ac2c5cf0980729992cf0167c19d
.data 0x2b000 0x4000 0x400 5.60 bb1fa8eebd5b25545e08c3dcf9d69583
.idata 0x2f000 0x1000 0x600 7.03 f510684aa415cd13979538f41fc0b778
.rsrc 0x30000 0x11000 0x5000 7.83 1fb3ee8559c8a0468ee504718b5af009
.aspack 0x41000 0x3000 0x2200 4.62 d8d1103ae3dac1595c40b01be6811939
.adata 0x44000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
( 1 imports )
> kernel32.dll: GetProcAddress, GetModuleHandleA, LoadLibraryA
VirusTotal - Free Online Virus and Malware Scan - Result http://www.virustotal.com/analisis/2fd2c9d8d46febc04e4c9b008e775c1e
2 von 3 19.03.2009 22:15
( 0 exports )
ThreatExpert info: <a href='http://www.threatexpert.com
/report.aspx?md5=84a14ed557597d25a98ae2c7043e7f86'
target='_blank'>http://www.threatexpert.com
/report.aspx?md5=84a14ed557597d25a98ae2c7043e7f86</a>
CWSandbox info: <a href='http://research.sunbelt-software.com
/partnerresource/MD5.aspx?md5=84a14ed557597d25a98ae2c7043e7f86'
target='_blank'>http://research.sunbelt-software.com/partnerresource
/MD5.aspx?md5=84a14ed557597d25a98ae2c7043e7f86</a>
packers (Kaspersky): ASPack

Daraufhin habe ich die Datei natürlich sofort gelöscht.
Die Datei habe ich am Mittwoch, den 4. Februar 2009 empfangen.
Aktuell bin ich mit WinXPSP3Home online (installiert auf meiner zweiten Festplatte in einer anderen Partition). Erste Frage: Kann mir in dieser Instanz etwas passieren? Das Betriebssystem wurde völlig neu aufgesetzt und hatte bisher noch keinen Kontakt mit Viren. Alle Updates sowie die aktuelle Version von Avast!Home sind installiert.
Mein Kumpel hat mit der Datei im Prinzip Tag und Nacht gespielt, ich bisher noch gar nicht. Relevant?

Nächste Frage: Was mache ich mit meiner evtl. verseuchten WinVistaHPSP1x64 Instanz? Habe da noch einige Daten und Einstellungen drauf, die ich noch sichern müsste? Wie gehe ich dabei vor, ohne mein WinXP Home zu gefährden? Kann ich Vista dann einfach neu installieren ohne Angst haben zu müssen, dass irgendwann noch etwas passiert?

Wie gehe ich allgemein mit diesem Befall um? Rein praktisch habe ich noch nichtmal gemerkt, dass überhaupt etwas passiert wäre. Muss ich damit rechnen, dass etwas passiert ist?

Aus Vorsicht habe ich schonmal Kennwörter für Steam-Account und diverse Online-Communities geändert. Muss ich damit rechnen, dass Kennwörter gefährdet sind, die als Cookie hinterlegt sind (bswp. DeviantArt, ESL, Facebook usw.)

Noch zum Schluss: Ich weiß bis heute noch nicht, was für einen Effekt diese Datei haben sollte.

Viele Fragen, bin mir gerade twas unsicher in dieser Beziehung. Bin für jeden Rat sehr sehr dankbar!

mfg
 
Zuletzt bearbeitet:
Ne datei die nen steamacc stealt ist en keylogger der sich meisst nur auf der Windows platte iwo einnistet normalerweise sollte simples neu aufsetzen des betriebssystem helfen ... ^^
 
lol, bei mir hätte der Keylogger keine Chance. Ob die automatische Anmeldung deshalb sicherer ist wage ich aber zu bezweifeln.

Und generell hast du etwas sehr wichtiges getan: Passwörter geändert. Angenommen, diese schadsoftware hätte dein Passwort gestohlen, dann würde es den Hintermännern nichts nützen, da es ja nicht mehr aktuell ist.
 
Natürlich "Modifikation", das ist ein Cheat und nix anderes.
Wenn, dann bleiben wir bitte bei der Wahrheit, dann lernen auch andere die Lektion daraus.

Dein System ist "kompromittiert".
Rufe Steam mit einem anderen Rechner auf und ändere das Passwort, sofern das noch möglich ist.
Dann dein System formatieren und neu Aufsetzen.

bhop.exe
Zum Vergrößern anklicken....
Mehr muss man nicht anmerken, wirklich nicht.

mfg,
Markus
 
Zuletzt bearbeitet:
Eindeutig ein Fehlalarm. Harmlos. Da war nichts.

Was auch immer dein Kumpel mit seinem Account gemacht hat, mit dieser Datei wird's nichts zu tun haben.
 
Typische 0815 Fehlermeldung...

das war bestimmt der proaktive Schutz, wenn du diesen bei unbekannten Dateien nicht ernst nimmst kannst ihn auch gleich auslassen. Sicherheitsgewinn ist dann null :-p
 
Ich vermute, dass es nichts anderes als ein Fehlalarm war. Die Modifikation könnte sich so ähnlich verhalten haben wie ein Trojaner.
Da meckern AVs manchmal bei Trainern.
Wenn doch was war, und das System völlig neu aufgesetzt wurde, dann kann dir eigentlich nichts mehr passieren, solange du die Datei mit dieser instanz nicht aufrufst.
Achja, lass lieber von solchen Mods die Finger.^^
 
Seit ihr alle von Vorgestern?

Und damits jeder lesen kann:
UNTERLASST FAHRLÄSSIGE EMPFEHLUNGEN, SCHREIBT LIEBER GARNICHTS UND VERBERGT EURE OFFENSICHTLICHE INKOMPETENZ!

Wie man im ersten Beitrag ja so schwer erkennen kann, sprechen gut die Hälfte der Antivirus-Engines darauf an, was mehr ist als bei so manch anderem, ebenfalls echtem Schadcode.
Fehlalarm AUSGESCHLOSSEN.

Wenn der TE diese Meldung nun irgnoriert, kann das böse Konsequenzen nach sich ziehen.
Die Änderung v. Passwörtern, evtl. Online-Banking Daten ist nun mehr als nur empfohlen.
Der Rechner ist schleunigst neu aufzusetzen, sprich zu Formatieren.

Und vom Rest hier kann man nur sagen - Lieber Finger still halten als wie falsche Ratschläge erteilen.

mfg,
Markus
 
Zuletzt bearbeitet:
Die Meldungen beinhalten aber "Generic" und wurden offensichtlich von der Heuristik der Scanner erzeugt. Hier muss man dann leider selber denken und eine Entscheidung treffen. Da die guten Heuristik-Scanner wie Artemis allerdings nicht reagiert haben, und die anderen auf bestimmte Technologien überreagieren, liegt es Nahe, dass es sich um einen Fehlalarm handelt. Dafür spricht auch, dass kein einziger signaturbasierter Alarm erzeugt wurde. Ich frage mich, wer hier keine Ahnung hat ...

Wenn man ein Abo hat, kann man verdächtige Dateien zum Teil auch direkt an einen Hersteller schicken und überprüfen lassen.
 
Zuletzt bearbeitet von einem Moderator:
Wenn man ein Abo hat, kann man verdächtige Dateien zum Teil auch direkt an einen Hersteller schicken und überprüfen lassen.
Zum Vergrößern anklicken....

Dann soll er das machen, wir werden sehen.
Ein Fehlalarm zeichnet sich durch 3-5 Treffer aus, nicht durch 50% der Scanroutinen auf Virustotal.
Ähnliche Engines sind z.B. Kasperski und Avira, oder Eset und Dr.Web.

mfg,
Markus
 
Ich habe z.b. bei Gdata gelesen das dieses Generic da auch ein Fehlalarm sein soll also wieso dann nicht einfach mal schlau machen ob der hersteller deiner Software auch was geschrieben hat. Hatte genau dasselbe prob heute aber mit Gdata 2010

Hier mal der Link zudem was ich damit meinte:

Klick mich Hart
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

P
Hab ich einen Virus?
2
Antworten
24
Aufrufe
4.175
Cyyanide
Cyyanide
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz