PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Trojaner?


K1ngC0bra
17.09.2007, 15:12
Also: Ich habe Holzed (CSS Hack geladen) und gescannt, natürlich vor dem öffnen. DAs ist raus gekommen:
File HOLZED_v1.2.fix_0.rar received on 08.23.2007 01:13:54 (CET)
Antivirus Version Last Update Result
AntiVir 7.4.1.63 2007.08.22 HEUR/Crypted
CAT-QuickHeal 9.00 2007.08.22 (Suspicious) - DNAScan
eSafe 7.0.15.0 2007.08.22 Suspicious Trojan/Worm
Ikarus T3.1.1.12 2007.08.22 Trojan-Proxy.Win32.Delf.bs
Prevx1 V2 2007.08.23 Generic.Malware
Sunbelt 2.2.907.0 2007.08.23 VIPRE.Suspicious
Webwasher-Gateway 6.0.1 2007.08.22 Heuristic.Crypted

Additional information
File size: 216834 bytes
MD5: 16bf91f634c6b467c3165a080b44c146
SHA1: 3b1e196df6bf8bb604399f22ff493bc3cd97d7ac
packers: PECOMPACT, BINARYRES, PECOMPACT
packers: PecBundle, PECompact
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=E534E9090095A0F78698032F69310A00C 9A811C1
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.
2. holzed.exe
General information about this executable
Analysis Reason: Primary Analysis Target
Filename: holzed.exe
MD5: d3bbc6678a973cc6374c53a55b2e1f07
CRC32: B1F33E22
File Size: 230912 Bytes
Command Line: holzed.exe
Process-status at analysis end: alive
Exit Code: 0

Load-time Dlls
Module Name Base Address Size
C:\​WINDOWS.0\​system32\​ntdll.dll 0x7C910000 0xB7000
C:\​InsideTm\​holzed.exe 0x400000 0x9F000
C:\​WINDOWS.0\​system32\​kernel32.dll 0x7C800000 0x106000
C:\​WINDOWS.0\​system32\​USER32.dll 0x77D10000 0x90000
C:\​WINDOWS.0\​system32\​GDI32.dll 0x77EF0000 0x46000
C:\​WINDOWS.0\​system32\​SHELL32.dll 0x7C9D0000 0x81E000
C:\​WINDOWS.0\​system32\​msvcrt.dll 0x77BE0000 0x58000
C:\​WINDOWS.0\​system32\​ADVAPI32.dll 0x77DA0000 0xAA000
C:\​WINDOWS.0\​system32\​RPCRT4.dll 0x77E50000 0x91000
C:\​WINDOWS.0\​system32\​SHLWAPI.dll 0x77F40000 0x76000
C:\​WINDOWS.0\​system32\​COMCTL32.dll 0x5D450000 0x97000
C:\​WINDOWS.0\​system32\​OLEACC.dll 0x74C00000 0x2C000
C:\​WINDOWS.0\​system32\​MSVCP60.dll 0x76020000 0x65000
C:\​WINDOWS.0\​system32\​ole32.dll 0x774B0000 0x13C000
C:\​WINDOWS.0\​system32\​OLEAUT32.dll 0x770F0000 0x8C000
C:\​WINDOWS.0\​system32\​WINSPOOL.DRV 0x72F70000 0x26000
C:\​WINDOWS.0\​WinSxS\​x86_Microsoft.Windows.Commo n-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\​comctl32.dll 0x773A0000 0x102000

Run-time Dlls
Module Name Base Address Size
C:\WINDOWS.0\system32\uxtheme.dll 0x5B0F0000 0x38000
C:\WINDOWS.0\system32\MSCTF.dll 0x746A0000 0x4B000

PEiD Output
PECompact 2.x -> Jeremy Collake

2.a) holzed.exe - Registry Activities
Registry Values Read:
Key Name Value Times
HKU\​S-1-5-21-842925246-1677128483-1957994488-500\​Keyboard Layout\​Toggle Language Hotkey 1 2
HKU\​S-1-5-21-842925246-1677128483-1957994488-500\​Keyboard Layout\​Toggle Layout Hotkey 2 2

2.b) holzed.exe - Other Activities
Mutexes Created:
mutex
CTF.TimListCache.FMPDefaultS-​1-​5-​21-​842925246- ​1677128483-​1957994488-​500MUTEX.DefaultS-​1-​5-​21-​842925246-​ 1677128483-​1957994488-​500
MSCTF.Shared.MUTEX.AOE

Ist das ein Trojaner?? oder kann ich es ohne Angst öffnen?

mfg K1ngC0bra
Beaving
17.09.2007, 15:24
lad dir lieber holzed von hier^^

http://holzed.com/g/HOLZED/v1.2.fix/


es gibt viele fakes von holzed wo malware drin ist, lads lieber direkt von holzed^^
K1ngC0bra
17.09.2007, 16:25
Schonmal gescannt? der is mit Poison gebunden oder so^^ mein Kaspersky sagt: Backdoor.Win32.Poison.o

...^^
Beaving
17.09.2007, 16:34
lol, der von holzed? ne, da ist zu 100% nix drin, aber wollt nur nochmal drauf hinweisen, dass der detected ist..

//edit da erlaubt sich holzed aber was....

ist infected, sieht man inner sandbox als mein browser aufging^^

früher war der nicht infected, ich sag nur reupp hat er gemacht^^
helvia
17.09.2007, 16:47
da ist ein trojaner drinn!!!!!!! siehe info mail von fkn0wned.com
zl0h
17.12.2007, 12:18
Weiß wirklich nicht ob man lachen oder weinen soll, wenn man hier so viel Unsinn auf einmal liest.