Verschlüsselungs-Trojaner, Hilfe benötigt

Hallo,

Aber in der EXE wüsste ich jetzt nicht wie man das schnell extrahieren kann. Komischerweise stürzt W32Disasm in der VM ab nachdem ich den Virus ausgeführt habe und dann ein Exemplar von ihm öffnen will...

habe vor längerer Zeit mal ein Progrämmelchen geschrieben, das versucht die Dateiversionen auszulesen.
Es ist ein Konsolenprogramm, das als Parameter den Namen der zur prüfenden Datei enthält.

Habe das Programm und einen Screenshot der Ausgabe hier angefügt, eventuell hilft es ja.

Sofern in einem Programm die FileVersion, wie für Windows typisch, enthalten ist, sollte sich in der Exe die Zeichenfolge VS_VERSION_INFO als UTF8 finden lassen, dahinter befinden sich dann die weiteren Informationen (ca. 1000 bis 2000 Byte vom Ende der Datei entfernt).

Zitat:

Folgende weitere Dateien scheinen mir nach allem was ich dazu gelesen habe, suspekt (ebenfalls in dieser TEMP):
- *moptlybuje.pre mit MTime 4.6.2012 18:09.
- *~DF3348.tmp mit MTime 16.6.2012 12:40. (Das dürfte etwa der Zeitpunkt gewesen sein, als ich die Windows-Boot-CD ausprobiert habe)

Dateien mit Namen in der Form von ~DF3348.tmp werden u. a. regelmäßig von MS-Office übriggelassen und nicht weggeräumt.

Stephan

**deraddi**

hab das Progrämmchen getestet, leider nichts passendes , schade. Der Virus meldet im GET String 2.000.11 , dein Tool 1.2.0.0 . An einer alten Version von Mitte Mai ergibt dein Tool leider gar nichts.

Verschlüsselungs-Trojaner, Hilfe benötigt

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

Stichworte

Forumregeln

deraddi Registriert seit: 7. Jun 2012 16 Beiträge	#2 AW: Verschlüsselungs-Trojaner, Hilfe benötigt 17. Jun 2012, 19:56 hab das Progrämmchen getestet, leider nichts passendes , schade. Der Virus meldet im GET String 2.000.11 , dein Tool 1.2.0.0 . An einer alten Version von Mitte Mai ergibt dein Tool leider gar nichts.
	Zitat