Einzelnen Beitrag anzeigen

nahpets
(Gast)

n/a Beiträge
 
#256

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 17. Jun 2012, 20:09
Hallo,
Aber in der EXE wüsste ich jetzt nicht wie man das schnell extrahieren kann. Komischerweise stürzt W32Disasm in der VM ab nachdem ich den Virus ausgeführt habe und dann ein Exemplar von ihm öffnen will...
habe vor längerer Zeit mal ein Progrämmelchen geschrieben, das versucht die Dateiversionen auszulesen.
Es ist ein Konsolenprogramm, das als Parameter den Namen der zur prüfenden Datei enthält.

Habe das Programm und einen Screenshot der Ausgabe hier angefügt, eventuell hilft es ja.

Sofern in einem Programm die FileVersion, wie für Windows typisch, enthalten ist, sollte sich in der Exe die Zeichenfolge VS_VERSION_INFO als UTF8 finden lassen, dahinter befinden sich dann die weiteren Informationen (ca. 1000 bis 2000 Byte vom Ende der Datei entfernt).

Zitat:
Folgende weitere Dateien scheinen mir nach allem was ich dazu gelesen habe, suspekt (ebenfalls in dieser TEMP):
- *moptlybuje.pre mit MTime 4.6.2012 18:09.
- *~DF3348.tmp mit MTime 16.6.2012 12:40. (Das dürfte etwa der Zeitpunkt gewesen sein, als ich die Windows-Boot-CD ausprobiert habe)
Dateien mit Namen in der Form von ~DF3348.tmp werden u. a. regelmäßig von MS-Office übriggelassen und nicht weggeräumt.

Stephan

Geändert von nahpets (21. Nov 2017 um 17:41 Uhr)
  Mit Zitat antworten Zitat