Scheint, als wäre es doch infiziert - wurde mir gerade von Olly/IDA und ihm selbst bestätigt. Nun gut, habe ich mal wieder etwas zum Analysieren.
maoshe, der Pfad ist vollkommen korrekt (hust ADS).
Ergebnis 21 bis 30 von 68
-
12.04.2009, 17:13 #21I'm in ur VM.
- Registriert seit
- 23.07.2007
- Beiträge
- 1.038
I can haz RCE?
-
12.04.2009, 17:14 #22Sobig Wurm
- Registriert seit
- 14.12.2008
- Beiträge
- 209
also is der crypter nicht infected sondern dieser trottel alexmiomorsch?
-
12.04.2009, 17:19 #23Eigener Benutzertitel
- Registriert seit
- 23.12.2008
- Beiträge
- 1.767
war die infizierte detei ein wurm ??
-
12.04.2009, 17:21 #24Anfänger
- Registriert seit
- 23.11.2008
- Beiträge
- 15
also habe grade unter netstat -o geschaut stehen aber alle sachen nur auf wartend so dann hab ich im Taskmanager geschaut und da war ein prozess der hieß system32:vcrt80.exe den hab ich aber einfach gekillt und jetzt ist nixmehr. Würde jetzt gerne wissen was los ist. Ist der Crypter infected oder wie siehts aus?
[ *Suche* ]
*eig. grade nur non Pub Sachen
[ *Biete* ]
*RAT Support (Ivy,Bifrost,Shark,C.I.A.)
*Steam Account (unbanned) (cs 1.6 pack)
*Windows serials
*Company of Heroes Serial
*Splinter Cell Double Agent Serial
Alle Serials sind Original
-
12.04.2009, 17:22 #25Anfänger
- Registriert seit
- 11.04.2009
- Beiträge
- 17
doch der crypter war infiziert..
ich habe die datei im system32 ordner auch net aber das gleiche wie Blizzardo das sich der IEXPLORER.EXE immer wieder startet!
hat einer mit dem cryptersteller gesprochen was die datei machst, stealt, löscht,..?
-
12.04.2009, 17:22 #26I'm in ur VM.
- Registriert seit
- 23.07.2007
- Beiträge
- 1.038
Der Crypter ist nicht direkt infected, jedoch die Stubs, die er generiert (zwei RunPE-Aufrufe, siehe auch anderer Thread).
Die infizierte Datei, die gedroppt wird (auf C:\, also Entwarnung für UAC-Nutzer; möglicherweise jedoch als ADS), heißt vcrt80.exe (es gibt eine vcrt80.dll, C-Runtime, diese also nicht löschen) und ist ca. 9 kb groß.
Sie injected sich unter anderem in den Explorer, mache evtl. eine komplette Analyse, wenn's noch spannender wird...Geändert von l0dsb (12.04.2009 um 17:23 Uhr) Grund: Typo ("nich")
I can haz RCE?
-
12.04.2009, 17:25 #27Anfänger
- Registriert seit
- 23.11.2008
- Beiträge
- 15
Also ich habe die Sachen grade erfolgreich aus dem Taskmanager löschen können kommt auch net wieder und mein ZL hats auch einmal geblockt mein RTHS... prozess war auch iwie auffällig deshalb einfach geclosed und jetzt ist nixmehr hmm komisch
[ *Suche* ]
*eig. grade nur non Pub Sachen
[ *Biete* ]
*RAT Support (Ivy,Bifrost,Shark,C.I.A.)
*Steam Account (unbanned) (cs 1.6 pack)
*Windows serials
*Company of Heroes Serial
*Splinter Cell Double Agent Serial
Alle Serials sind Original
-
12.04.2009, 17:26 #28Anfänger
- Registriert seit
- 11.04.2009
- Beiträge
- 17
die datei scheint zu bewirken das der Explorer sich immer wieder auf http://sponsorads.de verbindet...sogesagt macht er damit kohle pro verbindung auf die seite!
edit: die system32:vcrt80.exe hab ich auch per tastmanager beendet, aber wenn ich den iexplorer.exe beende, kommt diese weiterhin immer wieder.Geändert von the_godfather (12.04.2009 um 17:34 Uhr)
-
12.04.2009, 17:34 #29Sobig Wurm
- Registriert seit
- 14.12.2008
- Beiträge
- 209
lol wie lahm...und das wegn werbung
-
12.04.2009, 17:34 #30Bad Times Virus
- Registriert seit
- 14.12.2008
- Beiträge
- 511
Bei solchen fällen sollte man ehrlich mal dien Troja auf einen USB stick packen und einfach mal zu den bullen. wie man sich den eingefangen hat weiß man nicht Antivir hats erkannt und fertig.
Sowas ist echt scheiße und bringt schlechten ruf für die Hp. leider kann man sich dagegen nicht schützen(hinsichtlich FH)
Zitieren
