Scheint, als wäre es doch infiziert - wurde mir gerade von Olly/IDA und ihm selbst bestätigt. Nun gut, habe ich mal wieder etwas zum Analysieren.
maoshe, der Pfad ist vollkommen korrekt (hust ADS).
Druckbare Version
Scheint, als wäre es doch infiziert - wurde mir gerade von Olly/IDA und ihm selbst bestätigt. Nun gut, habe ich mal wieder etwas zum Analysieren.
maoshe, der Pfad ist vollkommen korrekt (hust ADS).
also is der crypter nicht infected sondern dieser trottel alexmiomorsch?
war die infizierte detei ein wurm ?? :D
also habe grade unter netstat -o geschaut stehen aber alle sachen nur auf wartend so dann hab ich im Taskmanager geschaut und da war ein prozess der hieß system32:vcrt80.exe den hab ich aber einfach gekillt und jetzt ist nixmehr. Würde jetzt gerne wissen was los ist. Ist der Crypter infected oder wie siehts aus?
doch der crypter war infiziert..
ich habe die datei im system32 ordner auch net aber das gleiche wie Blizzardo das sich der IEXPLORER.EXE immer wieder startet!
hat einer mit dem cryptersteller gesprochen was die datei machst, stealt, löscht,..?
Der Crypter ist nicht direkt infected, jedoch die Stubs, die er generiert (zwei RunPE-Aufrufe, siehe auch anderer Thread).
Die infizierte Datei, die gedroppt wird (auf C:\, also Entwarnung für UAC-Nutzer; möglicherweise jedoch als ADS), heißt vcrt80.exe (es gibt eine vcrt80.dll, C-Runtime, diese also nicht löschen) und ist ca. 9 kb groß.
Sie injected sich unter anderem in den Explorer, mache evtl. eine komplette Analyse, wenn's noch spannender wird...
Also ich habe die Sachen grade erfolgreich aus dem Taskmanager löschen können kommt auch net wieder und mein ZL hats auch einmal geblockt mein RTHS... prozess war auch iwie auffällig deshalb einfach geclosed und jetzt ist nixmehr hmm komisch
die datei scheint zu bewirken das der Explorer sich immer wieder auf http://sponsorads.de verbindet...sogesagt macht er damit kohle pro verbindung auf die seite!
edit: die system32:vcrt80.exe hab ich auch per tastmanager beendet, aber wenn ich den iexplorer.exe beende, kommt diese weiterhin immer wieder.
lol wie lahm...und das wegn werbung
Bei solchen fällen sollte man ehrlich mal dien Troja auf einen USB stick packen und einfach mal zu den bullen. wie man sich den eingefangen hat weiß man nicht Antivir hats erkannt und fertig.
Sowas ist echt scheiße und bringt schlechten ruf für die Hp. leider kann man sich dagegen nicht schützen(hinsichtlich FH)