Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

 
 Closed TopicStart new topic
> shmgrate.exe ein Trojaner?
approx26
Beitrag 08.03.2009, 17:42
Beitrag #1



War schon oft hier
**

Gruppe: Mitglieder
Beiträge: 84
Mitglied seit: 26.01.2008
Mitglieds-Nr.: 6.705

Betriebssystem:
XP-Pro
Virenscanner:
BIS 2010
Firewall:
BIS 2010
Hi Leute,

habe mich auf diversen Seiten über diesen Prozess erkundigt, den ich mit HjT durchgeführt habe. Diese Seite Programm Checker bewertet es als XP-Implement, während diese Process Library es als Trojan.W32.GASTER bewertet. ph34r.gif Was nun?

Bin dankbar für jede Hilfe....

ZITAT
Enumerating Active Setup stub paths:
HKLM\Software\Microsoft\Active Setup\Installed Components
(* = disabled by HKCU twin)

[<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}] *
StubPath = C:\WINDOWS\system32\ieudinit.exe

[>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
StubPath = C:\WINDOWS\inf\unregmp2.exe /ShowWMP

[>{26923b43-4d38-484f-9b9e-de460746276c}] *
StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE

[>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] *
StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE

[{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] *
StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll

[{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install

[{7790769C-0471-11d2-AF11-00C04FA35D02}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install

[{89820200-ECBD-11cf-8B85-00AA005B4340}] *
StubPath = regsvr32.exe /s /n /i:U shell32.dll

[{89820200-ECBD-11cf-8B85-00AA005B4383}] *
StubPath = C:\WINDOWS\system32\ie4uinit.exe -BaseSettings

[{89B4C1CD-B018-4511-B0A1-5476DBF70820}] *
StubPath = C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install


--------------------
Pax vobiscum

http://alles-schallundrauch.blogspot.com/
Go to the top of the page
 
+Quote Post
Gast_Scrapie_*
Beitrag 08.03.2009, 18:00
Beitrag #2






Gäste
Hi

Daten meiner Datei:

Windows XP Prof. SP3
Version = 5.1.2600.5512
Größe = 45.056 Bytes
MD5 = b8e802c5477862c637416da80dae74c4
SHA1 = 4365834c42877a28b02a7d984e0fc78a11b893d2
SHA256 = c834751ededf6b5bdb821a7f402b34b60ed2dfd6f04b39ca504ad054de30778f

Virustotal 100% negativ.
Anubis nix.

=> Wenn deine Datei selben Hash hat, dann ist's okay. Dafür spricht auch, dass der Startup-Eintrag häufig in Google gefunden wird, ein RAT etc. aber (bei gescheitem Builder) Diesen zufällig generiert und somit eher selten bei Google auftaucht...


Scrapie

Der Beitrag wurde von Scrapie bearbeitet: 08.03.2009, 18:11
Go to the top of the page
 
+Quote Post
approx26
Beitrag 17.03.2009, 18:35
Beitrag #3



War schon oft hier
**

Gruppe: Mitglieder
Beiträge: 84
Mitglied seit: 26.01.2008
Mitglieds-Nr.: 6.705

Betriebssystem:
XP-Pro
Virenscanner:
BIS 2010
Firewall:
BIS 2010
Na dann bin ich beruhigt, danke nochmal für die Auswertung....


--------------------
Pax vobiscum

http://alles-schallundrauch.blogspot.com/
Go to the top of the page
 
+Quote Post
« Vorhergehendes Thema · HijackThis-Logs · Folgendes Thema »
 

Closed TopicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 

Anzeige Modus: Standard · Wechsle zu: Thema+ · Wechsle zu: Überblick

Thema abonnieren · Dieses Thema versenden · Dieses Thema ausdrucken · Forum abonnieren

Vereinfachte Darstellung Aktuelles Datum: 19.04.2024, 04:07
Powered By IP.Board © 2024  IPS, Inc.
Licensed to: Rokop Security
Impressum