• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

[Sonstiges] Trojaner / Virus Entfernen ohne EXE zu Zerstören.

Der3Geist

always feed the fish

Registriert
14 Juli 2013
Beiträge
2.702
Ort
Hessen
Hi,
ich suche eine möglichkeit, ein Trojaner oder Virus aus einer Ausführbaren Datei (EXE) zu entfernen, ohne das Programm selber dabei zu Löschen oder zu Zerstören.

Ich meine mich zu erinnern, das dies früher Funktionierte, doch mittlerweile sind die Virenscanner schnell dabei mit Löschen oder in Quarantäne Verschieben.
Allerdings benötige ich das eigentliche Programm selber noch.

Ein erneutes Runterladen der EXE Datei wird dabei schwer möglich.

Eigentlich sollte ein Trojaner / Virus sich im Normalfall ja an das ausführbare Programm anhängen und beim Ausführen entsprechend mit gestartet werden.
Also müsste es doch möglich sein, dieses "Programm" zu entfernen und das Ursprungsprogramm im Original zu bekommen.

Kennt jemand vielleicht einen Virenscanner oder Tool, welches solch einen Vorgang ermöglicht ?
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.728
Ort
in der Zukunft
Das lässt sich so schlicht nicht sagen.
Weißt du ob die original exe wirklich noch existiert?
Oder hat eine andere Anwendung (Virus) nur den gleichen Namen?
Ist die Anwendung wirklich böse oder wird dort etwas falsch erkannt?
War die Anwendung vielleicht schon immer böse und wurde früher nur nie erkannt?
Woher ist die original Anwendung?

Wenn was angehängt wurde kann man es vielleicht hiermit finden: https://docs.microsoft.com/en-us/sysinternals/downloads/streams

Sonst müsste man auch die Struktur der .exe selber anschauen um was es sich eigentlich handelt.
Dabei wären erst einmal die ersten paar byte in hex oder zur not auch aus einem Texteditor interessant.

Alles in allem... Viel zu wenig Infos.
 

one

Querulant

Registriert
21 Juli 2013
Beiträge
5.839
Ort
ja
Ähm... Eine solche Vorgehensweise würde in allen Punkten dem Prinzip der Sicherheit widersprechen. Selbst ein komplettes Entfernen einer Schadsoftware führt heute nicht mehr dazu, dass ein System nicht mehr als kompromittiert angesehen wird. Früher konnte man da ein Auge fest zudrücken und Seiten wie "Trojaner-Board" und dergleichen hatten ihre Lebensberechtigung, heute nicht mehr. Du könntest, wenn das wirklich dein ernst ist, mal bei denen fragen. Ich kann dir aber gleich sagen, dass deren Hilfe sofort endet, wenn sie nicht legale Software in den Scans finden, die während der Hilfe mit verschiedenen Programmen ausgeführt werden müssen.

Ich würde das anders machen. Um welches Programm handelt es sich? Vielleicht hat das ja doch noch jemand.
 

Der3Geist

always feed the fish

Registriert
14 Juli 2013
Beiträge
2.702
Ort
Hessen
  • Thread Starter Thread Starter
  • #4
Ehrlich gesagt geht es um eine Gecrackte EXE eines kleinen Tools.

Ich teste solche programme von vornherein immer erst mit diversen Virenscannern auf verdächtige "Anhängsel"
Virus Total hat mit 20 von 60 Scannern angeschlagen.
Zusätzlich lasse ich solche dinge sowieso immer in Abgeschirmten VMs laufen.

Das Programm selbst Funktioniert, also sollte die EXE Funktionieren.
Rein Prgrammtechnisch sollte solch eine Infektion den Einsprungspunkt des programmes Verändern um selber gestartet zu werden und dann "ins" eigentliche Programm springen um unauffällig zu bleiben.
Nun müsste es für einen Virenscanner / Entferner eventuell möglich sein die als Virus/ Trojaner erkannte Funktion zu Isolieren und den Einsprungspunkt auf den Originalen Punkt zurück zu setzen.

Ich kann mich erinnern, das man früher (locker 10 jahre her) mittels der Anti Viren Software einen Virus Entfernen konnte.
Glaube aber fast, das dies heute nicht mehr möglich ist.
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.728
Ort
in der Zukunft
In dem Fall würde ich sagen das die Routine schon immer da drin ist. Ob diese wirklich Schaden anrichten ist natürlich die Frage... Oder ob eben genau der Crack erkannt wird.

@c1l
Klar kann man das System nicht gesichert reinigen. Aber einzelne Anwendungen schon wenn sie wichtig sind. Natürlich sollten sie im Zweifel isoliert ausgeführt werden - was hier ja scheinbar passiert.
Das ist das Risiko an Software aus schlechten Quellen :o
 

one

Querulant

Registriert
21 Juli 2013
Beiträge
5.839
Ort
ja
Schon klar. Ich hab das anfangs falsch interpretiert. Die gecrackte exe ist bewusst und gewollt. Nun soll die originale exe aber aus der gecrackten rekonstruiert werden. Und ich glaube das wird nichts.

Ich hoffe ich habe das nun richtig verstanden?
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.728
Ort
in der Zukunft
er hat ja erst jetzt erzählt das sie gecrackt ist - und ja ich denke auch das das nichts wird. Es kann aber auch gut sein das die exe voll in Ordnung ist - je nachdem arbeiten Cracks natürlich auch ähnlich wie bösartige Software.
 

Der3Geist

always feed the fish

Registriert
14 Juli 2013
Beiträge
2.702
Ort
Hessen
  • Thread Starter Thread Starter
  • #8
Euer ansatz ist ja richtig, aber es handelt sich dabei ja nicht um ein Reines Crack was erkannt wird wenn z.b. Laufzeit packer verwendet werden, sondern um die Ursprüngliche Exe, welche ja gecrackt wurde.
d.h. es werden aus der EXE ja diverse Abfragen und prüfungen Entfernt und nicht zusätzlich Code angehängt wie z.b. bei einem Loader.

Eigentlich sollte dort kein Virenscanner anschlagen, außer...(das müsste ich mal testen) die Originale EXE durch den Scanner jagen, und schauen ob die schon Verdächtig erscheint.

Das Teil läuft Problemlos in der VM, hätte es eventuell auch auf meinem Hauptsystem benötigt.
Aber, wenns keine möglichkeit gibt, dann bleibts wie es ist. ;)
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.728
Ort
in der Zukunft
Es können nicht immer die passenden Zeilen einfach entfernt werden.
Es ist durchaus auch eine Speichermanipulation denkbar - oder der Anwendung ein anderes System-Umfeld simulieren.
Du schreibst ja auch das nicht alle Virenscanner etwas melden. Bzw. du verwendest VirusTotal - diese schauen sich normal nur die Struktur der .exe an und was geladen wird. Laufzeit-Analysen finden hier nicht statt.

Erstell doch mal einen Account bei Virustotal. Dann kannst du dir eine genauere Analyse der .exe anschauen und gerne davon einmal einen Screenshot hier posten bzw. den Link zur Analyse.
 

DukeMan999

Duke Nukem Master

Registriert
14 Juli 2013
Beiträge
324
Oder sag einfach um welchse Programm/Spiel es sich handelt und wir kucken nach der Original exe :P

MfG
 

Der3Geist

always feed the fish

Registriert
14 Juli 2013
Beiträge
2.702
Ort
Hessen
  • Thread Starter Thread Starter
  • #11
Hab hier mal die Original und Crack EXE Dateien (es handelt sich um 2 stück) als RAR Hochgeladen.

Die Originalen werden seitens Windows Defender und Virus Total als Sauber erkannt.
Die Crack Versionen werden beide seitens Virus Total als Gefährlich eingestuft, und die datei IGOR.EXE wird selbst vom Windows Defender Gesperrt.

Ich Vermute mal, es wird keine Virusfreie Version geben, und werde mich entsprechend mit der VM begnügen müssen.

*Edit* ganz vergessen, passwort "ngb"

http://mefftan.bplaced.net/ngb.rar
 
Zuletzt bearbeitet:

ano.nym

gesperrt

Registriert
31 März 2020
Beiträge
206
Um was für ein Programm handelt es sich denn?

Das ist definitiv Schadsoftware. Habe mir die Datei auf Virustotal genauer angeschaut, scheinbar wird da etwas verschlüsselt auf der Festplatte gespeichert. Genauer hab ich aber nicht geguckt. Oder ist das der Zweck von dieser Software?
 
Zuletzt bearbeitet:

Der3Geist

always feed the fish

Registriert
14 Juli 2013
Beiträge
2.702
Ort
Hessen
  • Thread Starter Thread Starter
  • #13
Das Teil nennt sich Game Maker Studio 2

Ich wollte mir das teil mal anschauen.
Leider gibt es keine Testversion um XBox / Playstation Spiele zu Compilieren und mal zu testen wie das ding Läuft.

Die Original Dateien Speichern wohl Verschlüsselte Lizensdateien auf der Festplatte.
Allerdings kann ich nicht sagen, ob das Crack nicht Versteckt irgendwas Speichert, was dort nicht hin soll.

Das komplette Paket umfasst etwa 200MB
 

Der3Geist

always feed the fish

Registriert
14 Juli 2013
Beiträge
2.702
Ort
Hessen
  • Thread Starter Thread Starter
  • #15
Zum Anschauen gibt es doch eine Trial. https://www.yoyogames.com/get

Richtig, die hab ich mir auch angeschaut, aber leider kann man damit keine Konsolen versionen Kompilieren.
Unabhängig davon, das ich mit einer Gecrackten Version nie Komerziell etwas in irgendwelche Stores stellen wollen würde,
hätte ich mir das ganze vorher gerne mal auf Lauffähigkeit an der Konsole angeschaut.

Bisher habe ich mir immer alle Entwicklungs umgebungen gekauft die ich auch Komerziell einsetzen wollte / habe.
 

Der3Geist

always feed the fish

Registriert
14 Juli 2013
Beiträge
2.702
Ort
Hessen
  • Thread Starter Thread Starter
  • #17
Verwenden kann man das Programm schon im Vollen umfang, aber eben nicht für jede Vorhandene Plattform Kompilieren.

Ich habe mittlerweile über die jahre Programmierumgebungen gekauft für Windows, Android und iOS und wollte mir was einfaches für Konsolen zulegen, darum hatte ich mir das einfach mal anschauen wollen.
Um mal eben für Konsolen zum Testen ist es mir zu teuer und bevor ich mir das Kaufe lass ich es.

Darum das Crack, um einfach mal für mich zuhause zu testen ob es was taugt.
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.728
Ort
in der Zukunft
Die Anwendungen sind .NET Anwendungen und lassen sich relativ simpel Decompilieren.
Leider scheinen die Programme entweder durch ein Tool obfuscated zu sein - oder durch ein Entwicklungs-Framework entstanden zu sein.
Der Crack funktioniert wohl so - die Prüfroutinen aus dem Programm zu entfernen (jedenfalls ist ja die gecrackte wesentlich kleiner als das Original).

Spannend ist das die Original-Datei / entgegen der gecrackten / beim Start diverse Verbindungen ins Internet aufbaut - zu unterschiedlichsten Adressen.

Und ja die gecrackte hat Schadcode in sich (Das crypt zeug ist auch im Original - das ist normal). Die Anwendung erzeugt aber div. neue Anwendungen die da sicher so nicht hin gehören.

Leider konnte ich auf die Schnelle das erzeugen dieser temp-Anwendungen mit Schadcode - nicht finden und aufgrund der Codes-Struktur die auch zig leere Classen enthält (vermutlich um der Erkennung des Virenscanners zu entgehen) macht es schlicht auch keinen Spaß genauer danach zu suchen.

Ich würde entweder

a) die Anwendung wirklich in einer VM ohne Internet verwenden (auch weil das original so freudig in das Internet funkt)
b) den Hersteller einfach einmal anschreiben ... habe mit Software-Firmen durchaus schon oft gute Erfahrungen gemacht das die einem irgendwie entgegen kommen insofern man genau erklärt was man möchte und warum man dies möchte. Auch das du div. andere IDEs bereits gekauft hast usw.

Ansonsten eventuell https://www.unrealengine.com/ ?
 
Oben