|
|
|
22.09.12, 21:32
|
#1
|
Echter Freak
Registriert seit: Feb 2010
Beiträge: 2.943
Bedankt: 1.785
|
Datei NlsDatb007.exe, Trojaner?
Hallo Leute,
Bei meinem Nachbar ist seit etwa 4 Wochen das Problem, dass der Firefox extrem lahm ist. Andere Browser gehen super (IE9 und Opera)
Als ich gestern bei ihm war, fiel mir im Task-Manager eine Exe Datei auf die sich NlsDatb0007.exe nennt.
Laut Google gibt es keinen Eintrag dazu.
Die dll Dateien NlsData(4 Zahlen).dll stammen von Microsoft.
Das jetzt keine Verwechselung kommt, bitte drauf achten, zwischen NlsData und NlsDatb (exe, kein dll)
Nach intensive suche danach, hab ich noch nicht einmal ein Ansatzpunkt, was diese exe Datei überhaupt ist.
NlsDatb0007.exe ist 104 KB groß und ist im Windows\system32 Ordner.
Hab die Datei zwar jetzt gesichert und gelöscht, danach läuft Firefox wieder normal.
Kann mir einer sagen, was das für eine Exe Datei ist? Ob Trojaner oder ähnliches?
Für Antworten wäre ich dankbar
__________________
Gruß Schmicky
|
|
|
23.09.12, 20:00
|
#2
|
Malware Spezialist
Registriert seit: Oct 2010
Ort: Germany
Beiträge: 129
Bedankt: 767
|
Hallo,
lade die Datei mal auf [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] hoch und poste den Link.
Führe dann noch eine Analyse mit [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] sowie [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] durch.
Die Logs dann bitte im SPOILER posten.
Gruß
mkey
__________________
Gruß
mkey89
|
|
|
23.09.12, 21:10
|
#3
|
Süchtiger
Registriert seit: May 2010
Ort: 127.0.0.1
Beiträge: 815
Bedankt: 359
|
Also ich hätte wegen dem kriechen den Verdacht auf nen Keylogger.......aber das ist grad Spekulation...
|
|
|
23.09.12, 21:35
|
#4
|
Echter Freak
Registriert seit: Feb 2010
Beiträge: 2.943
Bedankt: 1.785
|
Hallo
Keylogger war auch mein zweiter Gedanke, aber dann ist der noch nicht erkannt worden, weil sämtliche Virenprogramme finden nichts. sieh Logdateien
Im Spoiler kann ich die nicht hochladen, weil OTL hat 22 Seiten, da blockiert mein PC.
Die Datei NlsDatb0007.exe hab ich jetzt nur für diesen Zweck, auf meinen Computer gezogen.
Die Datei liegt bei mir im Ordner auf dem Desktop, also kein startender Prozess.
Hier die PDF Dateien dazu, sonst klappt es nicht.
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
Google Link bezieht sich jetzt nur auf die Mygullyseiten von mir. sonst ist nichts zu finden
Nachtrag:
Ich habe jetzt mal die datei mit dem Editor geöffnet.
da steht zwar dabei, das es sich um Microsoft Visual C++ Runtime Library handelt aber auch viele Error zu finden sind.
Vielleicht hilft das einem weiter
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
__________________
Gruß Schmicky
|
|
|
23.09.12, 22:42
|
#5
|
Süchtiger
Registriert seit: May 2010
Ort: 127.0.0.1
Beiträge: 815
Bedankt: 359
|
Sehr komisch...ich hätte Lust, das Ding mal über einen Deassembler / Debugger zu jagen.....wenn du die bereitstellst.....
So macht sie ja angeblich nichts........aber das heisst nix...BKA und GEMA Zecken werden auch nicht "erkannt"...
|
|
|
23.09.12, 22:48
|
#6
|
Echter Freak
Registriert seit: Feb 2010
Beiträge: 2.943
Bedankt: 1.785
|
Okay, per PN schicke ich dir die Datei rüber.
__________________
Gruß Schmicky
|
|
|
23.09.12, 23:36
|
#7
|
Süchtiger
Registriert seit: May 2010
Ort: 127.0.0.1
Beiträge: 815
Bedankt: 359
|
Schaue sie mir dann morgen Abend an ... Gruss
|
|
|
24.09.12, 05:32
|
#8
|
Süchtiger
Registriert seit: May 2010
Ort: 127.0.0.1
Beiträge: 815
Bedankt: 359
|
So, konnts nicht lassen, war mal schauen...und IDA Disassembler sagt "Please use 64 bit to load AMD 64 files"
kriegs hier nicht Richtung ASM auf, kann also die API Schnittstelle nicht checken.
Aber das, was die mit Notepad geöffnete NlsDatb000f.exe zeigt, sind Strings, die ein Schädling meiner
Meinung nach vermeiden sollte...um getarnt zu bleiben.
" unable to open console device " etc würden ja stutzig machen.
Konnte auch mit Onlinescanner nichts verdächtiges finden.
Weiter unten finde ich dann " InternetCrackUrl " .....vieleicht weisst du mehr damit anzufangen...
Die Datei ist 104 KB gross.
Für standalone zu klein, finde ich.
Vermutlicherweise passt sie zu irgendeinem installierten Programm, was online irgendeinen Auftrag hat.
Insgesammt sieht die Datei aber eher ungefährlich aus.
Mein erster Eindruck.
Aber nach der Arbeit versuche ich nochmal, die API zu fassen zu kriegen, falls die überhaupt benutzt wird.
Bis später dann...Gruss
|
|
|
24.09.12, 10:37
|
#9
|
Echter Freak
Registriert seit: Feb 2010
Beiträge: 2.943
Bedankt: 1.785
|
Morgen,
so, wie ich sehe, so untätig wars du doch nicht ........
Ersteinmal danke für deine Hilfe.
Ich hab jetzt mal selber versucht, die Datei bei mir ans laufen zu bekommen. jegliche Befehl mit oder ohne Commandozeile via *.bat Datei. schlug fehl. Der direkte Weg flug ebenfalls fehl, (ins System32 einfügen)
Jetzt ist der zweite Tag, wo Firefox beim Nachbar läuft, ob nichts gewesen wäre.
Ich versuche nocheinmal, die Datei beim Nachbar ans laufen zu bekommen.
Mein xxx Verdacht, bezieht sich auf ein Iped hin, was mit Windows CE ausgestattet ist, weil es sich ansatzweise paar Hinweise in der Datei Nls... befinden.
Aber, um es genau zu belegen, teste ich es heute mal.
Ebenfalls bis später.
(P.S. Schön wenn man arbeiten gehen kann, aber mit nem Tennisarm, macht man nichts mehr *grins)
__________________
Gruß Schmicky
|
|
|
24.09.12, 11:17
|
#10
|
Chuck Norris sein Vater
Registriert seit: Aug 2009
Beiträge: 5.172
Bedankt: 3.131
|
Dann lad doch mal die ganze Datei hoch.
Mfg
|
|
|
24.09.12, 11:42
|
#11
|
Süchtiger
Registriert seit: May 2010
Ort: 127.0.0.1
Beiträge: 815
Bedankt: 359
|
War mal so frei und hab den Link freigemacht.....
Und geht gleich weiter mit der Arbeit......bis später............
Übrigens : Durchsuche mal die Registery nach dieser Datei.....
schätze mal, da sollte etwas zu finden sein.....
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
|
|
|
24.09.12, 14:15
|
#12
|
Chuck Norris sein Vater
Registriert seit: Aug 2009
Beiträge: 5.172
Bedankt: 3.131
|
Es ist auf jeden Fall eine PE32+ Exe. Diese findet z.b NetFramework, Windows CE, Win7 x64 Verwendung.
Auch wenn der Dateiname etwas anderes ist, glaube ich trotzdem, das es ein Teil von Framework ist.
Mfg
|
|
|
24.09.12, 17:32
|
#13
|
Süchtiger
Registriert seit: May 2010
Ort: 127.0.0.1
Beiträge: 815
Bedankt: 359
|
Hatte gestern irgendwo einen Hinweis auf Framework gefunden...finds nicht wieder...und die Datei ist nur mit 64 Bit Tools zu öffnen " Portable executable for AMD64 (PE) " IDA Pro....
|
|
|
24.09.12, 23:51
|
#14
|
Echter Freak
Registriert seit: Feb 2010
Beiträge: 2.943
Bedankt: 1.785
|
Hallo Leute
danke ersteinmal, für die Anteilnahme der komische Datei.
Laut Microsoft soll diese Datei in ihrem System nicht vorhanden sein.
Jetzt stellt sich mir die Frage, Framework oder Windows 7 X64, was ich selbst benutze, wieso die Datei nicht auf meinen Rechner zu finden ist. Es sind nur die NlsData(4 Zahlen).dll zu finden, aber keine NlsDatb0007.exe
Beim Nachbarn hab ich die Datei wieder ans laufen bekommen, nach einem Neustart, war die Datei brav wieder im Task-Manager zu sehen, Firefox startet lahm, Seiten dauern ungelogen Minuten bis sie komplett gestartet sind.
Datei gelöscht, neugestartet und Firefox läuft wieder normal.
Man kann schnell fündig werden wenn man die Suchfunktion mit STRG+F verwendet, ist nur ein Eintrag von "Microsoft Visual C++ Runtime Library" zu finden, nichts mit Framework.
Was ich zwar jetzt rausgefunden habe, dass es möglich wäre, das ein Iped angeschlossen war. Aber er kann es nicht 100% bestätigen.
Ich glaube, ich müsste an Hand des Iped mal nachforschen. werde das Übermorgen (Mittwoch) in Angriff nehmen.
Es läßt mir keine ruh.
Was auch komisch ist, ich sage es erneut. Die dll Dateien finden man unter Google, die exe nicht.
Selbst auf jetzt mehrere Computer, die Nachbarn und dessens Kinder freundlicherweise bereit gestellt haben, ist die Exe nicht zu finden.
P.S. Registery hab ich noch nicht durchforscht, schau morgen mal.
__________________
Gruß Schmicky
|
|
|
25.09.12, 14:50
|
#15
|
Süchtiger
Registriert seit: May 2010
Ort: 127.0.0.1
Beiträge: 815
Bedankt: 359
|
Hab mich wohl geirrt, Framework find ich nicht dort drinne.
Am Wochenende hätt ich eine 64 Bit Maschine unter meine Finger...und weils mir auch keine Ruh lässt, geh ich dann mal da anders ran.
Ist definitiv ein 64 Bit File und hat keine besonderen Datei-Infos.............finds komisch.
Wenn du das Ding nochmal startest.....geh da doch mal mit Process Monitor bei.....damit sollte es möglich sein, der Bremse auf die schliche zu kommen...
Process Monitor 3.03
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
Unter : Tools / Process Tree siehst du, watt im Ram so abgeht, wo der Krams herkommt etc....
Dort sollte dann auch NlsDatb0007.exe zu sehen sein.....
Gruss
|
|
|
25.09.12, 21:17
|
#16
|
Echter Freak
Registriert seit: Feb 2010
Beiträge: 2.943
Bedankt: 1.785
|
Hallo
so, jetzt nach meiner OP. komme ich wieder dazu, zu antworten
Der Nachbar hat mir die Registry-Einträge (alle) zugestellt, und mit dem Programm zwei Screenshots gemacht.
Wie ich es mir gedacht habe, es gibt weiterhin keinen Ansatzpunkt, vom wen oider was die Datei ist.
Es wird nur mitgeteilt, wo sich die exe befindet, egal ob in dem gewissen Programm oder auch in der Registry
hier die Dateien.
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
Abgesehen vom System, es ist nur auf diesen einen PC drauf.
Framework und Microsoft Produkte schliesse ich komplett aus,
__________________
Gruß Schmicky
|
|
|
27.09.12, 15:12
|
#17
|
Süchtiger
Registriert seit: May 2010
Ort: 127.0.0.1
Beiträge: 815
Bedankt: 359
|
War da mal mit OS Forensics bei, "Unknown File Type".....irgendwo hab ich noch Helix Forensics, werds am WE versuchen, da ranzukommen.
Gruss
|
|
|
27.09.12, 17:27
|
#18
|
Echter Freak
Registriert seit: Feb 2010
Beiträge: 2.943
Bedankt: 1.785
|
Hallo´,
mit dem Iped war auch kein Erfolg. Datei oder ähnliches sind nicht auf WCE.
Auf deine Frage, Nein, Linux ähnliches Systeme war nicht auf dem Rechner bzw., mit Live CD.gestartet wurde.
Ich hab so langsam kein Plan mehr, wo ich noch suchen soll.
Das ist mal wieder eine Nadel im Heuhaufen.
__________________
Gruß Schmicky
|
|
|
27.09.12, 20:27
|
#19
|
Süchtiger
Registriert seit: May 2010
Ort: 127.0.0.1
Beiträge: 815
Bedankt: 359
|
Bin auch ein wenig ratlos, aber schick dir mal eine PN...kurz gesagt... OS Forensics macht nur Sinn, wenns auf dem System läuft, welches geprüft werden soll.
Würd mal vorschlagen : NlsDatb0007.exe starten... OS Forensics starten ( dauert etwas ) Memory Fiewer starten, oben dann "NlsDatb0007.exe" wählen und hoffentlich was brauchbares finden.
Gruss
Edit : Und kriege das File " NlsDatb0007.exe " beim besten Willen hier nicht anständig geöffnet.
|
|
|
02.10.12, 10:00
|
#20
|
Echter Freak
Registriert seit: Feb 2010
Beiträge: 2.943
Bedankt: 1.785
|
Es gibt bestens willen keine weitere details preis von der nls datb0007.exe datei.
Bitte jetzt nicht schimpfen, weil alles klein geschrieben ist. bin operieret wurden
__________________
Gruß Schmicky
|
|
|
02.10.12, 18:58
|
#21
|
Süchtiger
Registriert seit: May 2010
Ort: 127.0.0.1
Beiträge: 815
Bedankt: 359
|
Auf dem Rechner von deinem Kumpel....
gehe mal hierhin
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
und versuch mal, das File zu Analysieren...
Ich krieg hier :
"Unfortunately your file could not be executed.
It seems the file you provided is a Windows executable (PE) file, but the program failed to load/start in our analysis system. A typical reason for this error is that some of the required library files (dlls) are missing in our system or the program was not intended to be run in the operating system we are using."
Gruss
|
|
|
06.10.12, 23:53
|
#22
|
Echter Freak
Registriert seit: Feb 2010
Beiträge: 2.943
Bedankt: 1.785
|
Hallo
Hab es gemacht wie du sagtest, jedoch das selbe Resultat wie bei dir.
Ich hab die Datei jetzt restlos gelöscht.
Danke für deine Hilfe.
__________________
Gruß Schmicky
|
|
|
07.10.12, 04:42
|
#23
|
Süchtiger
Registriert seit: May 2010
Ort: 127.0.0.1
Beiträge: 815
Bedankt: 359
|
Ja, kein Thema.....insgesammt komisch das alles...Gruss
|
|
|
Themen-Optionen |
|
Ansicht |
Linear-Darstellung
|
Forumregeln
|
Du kannst keine neue Themen eröffnen
Du kannst keine Antworten verfassen
Du kannst keine Anhänge posten
Du kannst nicht deine Beiträge editieren
HTML-Code ist Aus.
|
|
|
Alle Zeitangaben in WEZ +1. Es ist jetzt 04:19 Uhr.
().
|