Bin ich befallen?

**himitsu**

Die Rescue Disk läd noch 'nen Weilchen

und der super DE-Cleaner von botfrei hat zwar 10 (eigentlich nur 3, da Kopieen) Dateien gefunden und als bösartig eingestuft.

Zwei Dateien kenn ich genau, da sie selbsgeschrieben sind und die andere ist von einem DP-Mitglied der Codepad 2.0.

Die eine Datei macht übrigens nix anderes, als

zusammenfalten · markieren

Delphi-Quellcode:

			Procedure TForm1.Button1Click(Sender: TObject);

  Procedure Search(Const Dir, Name: String);

    Var SR: TSearchRec;

    Begin

      Caption := Dir;

      Application.ProcessMessages;

      If FindFirst(Dir + Name, faAnyFile, SR) = 0 Then Begin

        Repeat

          If (SR.Name = '') or (SR.Name = '.') or (SR.Name = '..') Then Continue;

          If SR.Attr and faDirectory = 0 Then Memo1.Lines.Add(Dir + SR.Name)

          Else Memo1.Lines.Add(Dir + SR.Name + '\');

        Until FindNext(SR) <> 0;

        FindClose(SR);

      End;

      If FindFirst(Dir + '*.*', faDirectory, SR) = 0 Then Begin

        Repeat

          If (SR.Name = '') or (SR.Name = '.') or (SR.Name = '..') Then Continue;

          If SR.Attr and faDirectory <> 0 Then Search(Dir + SR.Name + '\', Name);

        Until FindNext(SR) <> 0;

        FindClose(SR);

      End;

    End;

  Begin

    Button1.Enabled := False;

    Memo1.Lines.Clear;

    Search('', Edit1.Text);

    Caption := 'Form1';

    Button1.Enabled := True;

  End;

Procedure TForm1.Edit1KeyPress(Sender: TObject; Var Key: Char);

  Begin  If Key = #13 Then Button1.Click;  End;

(die XP-Suche war halt nicht unbedingt zuverlässig/schnell)

Also 'nen reines Delphi-Gebashe ... weil Delphi-Programme ja immer sooooo böse sind.

**s.h.a.r.k**

Und Codepad hat doch so nen Hook in einer DLL, soweit ich das noch einschätzen kann.

BTW: Schon mal nach auffälligen Dateien gesucht? Wie oben beschrieben.

**himitsu**

Zitat von s.h.a.r.k:

BTW: Schon mal nach auffälligen Dateien gesucht?

Nix zu finden, auch in der Registry nicht.

Allerdings stand irgendwo, daß dieses Teil schwer zu entdecken sein soll.

**Luckie**

Und wenn du ihn findest, nicht reinigen, sondern neu aufsetzen.

**himitsu**

Zitat von Luckie:

Und wenn du ihn findest, nicht reinigen, sondern neu aufsetzen.

Ist schon OK, aber wenn nichts da ist, dann würde ich dieses gerne vermeiden.

Steht nicht grad viel Informatives drin und in Bedrohungdetails steht nur der Dateiname+Pfad.
Was ich komisch finde, ist, daß ich gefährlichere Dateien auf der Platte hat, welche nicht bemängelt werden.

**Assarbad**

Zitat von himitsu:

Zitat von Luckie:

Und wenn du ihn findest, nicht reinigen, sondern neu aufsetzen.

Ist schon OK, aber wenn nichts da ist, dann würde ich dieses gerne vermeiden.

Bei Rootkits ist das ja das fiese. Man weiß nicht unbedingt, daß man befallen ist, geschweige denn von was - aber die Indikatoren sind da. Hier kann ich nix sehen (siehe die beiden Screenshots). Ich empfehle daß du nochmal GMER und den RootkitRevealer von Sysinternals drüberlaufen läßt. Dann haben wir ziemliche Sicherheit, daß da auch nix versteckt unterwegs ist.

Zitat von himitsu:

Steht nicht grad viel Informatives drin und in Bedrohungdetails steht nur der Dateiname+Pfad.

Komplett lesen

Offenbar ist das ein whitelist-basiertes Programm. Sprich, Norton geht danach was sie kennen. Ist eine sehr sichere Methode, aber alles kennen die logischerweise nicht. Interessant wäre ...

Zitat von himitsu:

Was ich komisch finde, ist, daß ich gefährlichere Dateien auf der Platte hat, welche nicht bemängelt werden.

... bei diesen, was genau Norton dazu sagt.

Was denn so? Echte Malware oder eher Grayware?

Kann dir gern mal unseren Kommandozeilenscanner mit Virensignaturen schicken (bspw. morgen).

**Assarbad**

Zitat von himitsu:

und der super DE-Cleaner von botfrei hat zwar 10 (eigentlich nur 3, da Kopieen) Dateien gefunden und als bösartig eingestuft.

Wie genau werden sie denn gemeldet?

Bin ich befallen?

AW: Bin ich befallen?

AW: Bin ich befallen?

AW: Bin ich befallen?

AW: Bin ich befallen?

AW: Bin ich befallen?

AW: Bin ich befallen?

AW: Bin ich befallen?

Forumregeln

s.h.a.r.k Registriert seit: 26. Mai 2004 3.159 Beiträge	#2 AW: Bin ich befallen? 29. Nov 2010, 13:55 Und Codepad hat doch so nen Hook in einer DLL, soweit ich das noch einschätzen kann. BTW: Schon mal nach auffälligen Dateien gesucht? Wie oben beschrieben. »Remember, the future maintainer is the person you should be writing code for, not the compiler.« (Nick Hodges)
	Zitat

himitsu Registriert seit: 11. Okt 2003 Ort: Elbflorenz 44.342 Beiträge Delphi 12 Athens	#3 AW: Bin ich befallen? 29. Nov 2010, 13:58 Zitat von s.h.a.r.k: BTW: Schon mal nach auffälligen Dateien gesucht? Nix zu finden, auch in der Registry nicht. Allerdings stand irgendwo, daß dieses Teil schwer zu entdecken sein soll. Ein Therapeut entspricht 1024 Gigapeut.
	Zitat

Luckie Registriert seit: 29. Mai 2002 37.621 Beiträge Delphi 2006 Professional	#4 AW: Bin ich befallen? 29. Nov 2010, 14:39 Und wenn du ihn findest, nicht reinigen, sondern neu aufsetzen. Michael Ein Teil meines Codes würde euch verunsichern.
	Zitat

Assarbad Registriert seit: 8. Okt 2010 Ort: Frankfurt am Main 1.234 Beiträge	#7 AW: Bin ich befallen? 29. Nov 2010, 14:52 Zitat von himitsu: und der super DE-Cleaner von botfrei hat zwar 10 (eigentlich nur 3, da Kopieen) Dateien gefunden und als bösartig eingestuft. Wie genau werden sie denn gemeldet? Oliver "... aber vertrauen Sie uns, die Physik stimmt." (Prof. Harald Lesch)
	Zitat