.exe - Dateien analysieren !, Meldung von AV überprüfen Einstellungen

[fjg]

Hallo zusammen,
kennt jeman ein Programm, wo man exe-Dateien analysieren kann, bzw das einem anzeigt welche Dateien und prozesse davon betroffen sind?

Norton antibot schreibt mir das eine "Spiele" - exe (nenne absichtlich keinen genauen Namen) in andere Prozesse eindringt.

Nun möchte ich gerne überprüfen, was genau beim Ausführen der Datei passiert!
Bei virustotal mekern nur 5 AV`s rum (suspect).

Vielen dank schon jetzt für euere Hilfe und mfG
Franz

[Julian]

Dieses von dir beschriebene Verhalten wird wahrscheinlich durch den Kopierschutz ausgelöst.

[Rene-gad]

Hallo zusammen,
kennt jeman ein Programm, wo man exe-Dateien analysieren kann, bzw das einem anzeigt welche Dateien und prozesse davon betroffen sind?

Wenn auch Ja, sind es keine kostenlosen Programme . Wenn Du kein Programmierer bist, lasse lieber die Finger weg davon. Schaue einfach genauer an, welche Prozesse werden beim Ausführen der Datei zugegriffen (Norton sollte davon Bescheid wissen).

Bei virustotal mekern nur 5 AV`s rum (suspect).

Wer denn? Die Datei zur Analyse an diese schon versandt?

[Julian]

(Norton sollte davon Bescheid wissen)

Norton AntiBot sagt dir nur, dass Prozess X (DLL)-Injections vornimmt, nicht aber die Zielprozesse.

[fjg]

Hallo und danke für die schnellen Antworten,

@danke für den Hinweis des Kopierschutzes, aber ich weiss immer noch nicht (wie du es ja in deinem 2. posting sagst) welche Prozesse wirklich betroffen sind

@Rene-gad
Norton Antibot sagt nicht welche Prozesse, habe es zur Analyse eingeschickt!
Den Anderen Herstellern noch nicht werde ich mache sobald ich Zeit finde !!


MfG
Franz

Der Beitrag wurde von fjg bearbeitet: 27.02.2008, 14:35

[Julian]

@danke für den Hinweis des Kopierschutzes, aber ich weiss immer noch nicht (wie du es ja in deinem 2. posting sagst) welche Prozesse wirklich betroffen sind

Vermutlich alle.

Mit dem proaktiven Schutz von Kaspersky kannst du übrigens ganz leicht herausfinden, welche verdächtigen Aktionen ein Programm ausführt und welche anderen Programme davon betroffen sind.

[fjg]

Danke für den Tip mit Kaspersky, den versuch ich mal !!
Hab ihn noch an einem PC am Laufen

MfG
Franz

[subset]

Wenn auch Ja, sind es keine kostenlosen Programme.

Der Dependency Walker ist kostenlos und sollte für eine erste Analyse reichen.
http://support.microsoft.com/kb/256872/de

Exakte Meldungsfenster liefern z. B. EQSecure und AppDefend:
http://www.wilderssecurity.com/showpost.ph...mp;postcount=27
http://www.wilderssecurity.com/showpost.ph...mp;postcount=28

Der Proaktive Schutz und Anti-bot/Primary Response SafeConnect sind für eine umfassende Diagnose wenig geeignet, da sie als expert-based behavior blocker HIPS konzipiert wurden.

MfG

Der Beitrag wurde von subset bearbeitet: 27.02.2008, 15:41

[fjg]

Hallo,

@subset,

das Microsoft Tool, scheint genau dass zu sein, was ich brauche! Ich werde es heute Abend gleich ausprobieren!

Vielen Dank!

MfG
Franz

Der Beitrag wurde von fjg bearbeitet: 27.02.2008, 16:01

[Rene-gad]

Der Dependency Walker ist kostenlos und sollte für eine erste Analyse reichen.
http://support.microsoft.com/kb/256872/de

Danke für Deine Info . Es ist aber trotzdem für Fortgeschrittene, oder?

[subset]

Es ist aber trotzdem für Fortgeschrittene, oder?

Kann leicht passieren, dass einer vor lauter Wald die Bäume nicht mehr sieht.

MfG

[dragonmale]

[...]das Microsoft Tool [...]

Dieses Tool ist nicht von Microsoft Die neuste Version ist übrigens die 2.2.6, welche du dir direkt vom Hersteller holen kannst ...

[Rouven]

Sofern es sich um ein Original Spiel handelt, sollte es unproblematisch sein.

Sofern es sich um ein von emule oder sonstigem illegalem Wege bezogen worden sein, so würde ich sehr vorsichtig sein.
Die Hersteller schieben gerne modifizierte Spiele, die dann nach Hause telefonieren in solche Kanäle.....

[fjg]

Guten Abend,

@Rouven,
das Spiel ist gekauft, ein download Spiel und nicht das Einzige das diese meldung verursacht!

@evil_religion
Kaspersky war am schlafen , nein im Ernst: er mekerte nicht¨
Also habe ich mal Safe `n` sec installiert und der hat mir dann verraten was los ist:
Es hat 2 .exe dateien im Ordner klicke ich auf die eine, beeinflusst sie die Andere!
Lösche ich sie, beeinflusst der explorer die exe!



@dragonmale und und subset
ja, das mit "Dependency Walker" ist so ne Sache: der vergleich mit dem Wald stimmt schon ein wenig, zumal man noch wissen sollte welche "Abhängigkeiten" "normal" sind !
Ich werde mir das Prog aber mal näher ansehen wenn ich zeit habe!


MfG
Franz

[fjg]

Wer denn? Die Datei zur Analyse an diese schon versandt?

Ergebnis: 5/32 (15.63%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit is zwischen 42 und 60 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.27.0 2008.02.27 -
AntiVir 7.6.0.67 2008.02.27 -
Authentium 4.93.8 2008.02.27 -
Avast 4.7.1098.0 2008.02.26 -
AVG 7.5.0.516 2008.02.27 -
BitDefender 7.2 2008.02.27 -
CAT-QuickHeal 9.50 2008.02.26 -
ClamAV 0.92.1 2008.02.27 -
DrWeb 4.44.0.09170 2008.02.27 -
eSafe 7.0.15.0 2008.02.26 -
eTrust-Vet 31.3.5567 2008.02.27 -
Ewido 4.0 2008.02.26 -
FileAdvisor 1 2008.02.27 -
Fortinet 3.14.0.0 2008.02.27 -
F-Prot 4.4.2.54 2008.02.26 -
F-Secure 6.70.13260.0 2008.02.27 Suspicious:W32/Malware!Gemini
Ikarus T3.1.1.20 2008.02.27 -
Kaspersky 7.0.0.125 2008.02.27 -
McAfee 5238 2008.02.26 -
Microsoft 1.3301 2008.02.27 -
NOD32v2 2905 2008.02.27 -
Norman 5.80.02 2008.02.26 -
Panda 9.0.0.4 2008.02.27 Suspicious file
Prevx1 V2 2008.02.27 Heuristic: Suspicious File With Covert Attributes
Rising 20.33.22.00 2008.02.27 -
Sophos 4.27.0 2008.02.27 Sus/ComPack-C
Sunbelt 3.0.893.0 2008.02.23 -
Symantec 10 2008.02.27 -
TheHacker 6.2.9.229 2008.02.25 -
VBA32 3.12.6.2 2008.02.27 -
VirusBuster 4.3.26:9 2008.02.26 -
Webwasher-Gateway 6.6.2 2008.02.27 Virus.Win32.FileInfector.gen (suspicious)
weitere Informationen
File size: 1404928 bytes
MD5: fd6f83afe07d0c12e016d111295dee61
SHA1: c1176444070b917b54e9bdef255467835a9a4006
PEiD: Armadillo 3.X-5.X -> Silicon Realms Toolworks
packers: Armadillo
Prevx info: http://info.prevx.com/aboutprogramtext.asp...B0FCB00A7162BB8

Der Beitrag wurde von fjg bearbeitet: 27.02.2008, 21:13

[raman]

Der PrevX Link sagt doch schon einiges und Armadillo den Rest.

[fjg]

Hallo raman,

jep, soweit war ich auch, aber ich wollte wissen, was alles (welche Prozesse ect.) beeinflusst wird!
Das macht das oben erwähnte Programm bis ins Detail! Ich habe aber momentan zuwenig Zeit um es ausgiebig zu Testen und die Abhängigkeiten zu überprüfen (ich hatte nicht gedacht, dass es so Detailreich ist) : Aber es kam die Idee und darum danke ich den Leuten für die Antworten!

MfG und gute Nacht
Franz

[Gast_blueX_*]

Ich empfehle die Sunbelt Sandbox -> http://research.sunbelt-software.com/Submit.aspx

[fjg]

Guten Abend,

@blueX

ja werde ich mir auch mal anschauen!

Danke!

MfG
Franz

[Julian]

@evil_religion
Kaspersky war am schlafen , nein im Ernst: er mekerte nicht¨
Also habe ich mal Safe `n` sec installiert und der hat mir dann verraten was los ist:
Es hat 2 .exe dateien im Ordner klicke ich auf die eine, beeinflusst sie die Andere!
Lösche ich sie, beeinflusst der explorer die exe!

Waren beim proaktiven Schutz unter Aktivitätsanalyse alle Optionen wie "Windows Hooks" etc aktiviert?