Forum: SuRun Fragen/Antworten RSS
Trojaner in SuRun?
In Backupfile werden angeblich Trojaner gefunden
Page:  1  2  next 
rifo #1
Member since Jan 2009 · 19 posts · Location: 97285 Röttingen
Group memberships: Mitglieder
Show profile · Link to this post
Subject: Trojaner in SuRun?
Hi,

Avira AntiVir Premium schockte mich soeben mit einem angeblichen Trojanerfund. Hier der Auszug aus dem Log:

F:\ARBEITSRECHNER\Backup Set 2010-08-05 104517\Backup Files 2010-08-05 104517\Backup files 23.zip
[0] Archivtyp: ZIP
  [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen2
  --> C/Users/Richard/Downloads/surun.zip
    [1] Archivtyp: ZIP
    --> InstallSuRun.exe
      [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen2
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '488784d3.qua' verschoben!
F:\ARBEITSRECHNER\Backup Set 2010-08-19 150000\Backup Files 2010-08-19 150000\Backup files 23.zip
[0] Archivtyp: ZIP
  [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen2
  --> C/Users/Richard/Downloads/surun.zip
    [1] Archivtyp: ZIP
    --> InstallSuRun.exe
      [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen2
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5010ad5c.qua' verschoben!
F:\ARBEITSRECHNER\Backup Set 2010-09-03 150001\Backup Files 2010-09-03 150001\Backup files 23.zip
[0] Archivtyp: ZIP
  [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen2
  --> C/Users/Richard/Downloads/surun.zip
    [1] Archivtyp: ZIP
    --> InstallSuRun.exe
      [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen2
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '024ff6cc.qua' verschoben!
F:\ARBEITSRECHNER\Backup Set 2010-09-17 150001\Backup Files 2010-09-17 150001\Backup files 23.zip
[0] Archivtyp: ZIP
  [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen2
  --> C/Users/Richard/Downloads/surun.zip
    [1] Archivtyp: ZIP
    --> InstallSuRun.exe
      [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen2
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6478bbb4.qua' verschoben!

Stutzig macht mich, dass dieser "Trojaner" in 4 Backupsätzen gefunden werden, die alle zeitlich relativ weit auseinander liegen - dabei mache ich täglich Backup. Die Originaldatei konnte ich nicht scannen, weil sie gelöscht wurde. Ich benutze unter Win7 SuRun nicht, sondern nur auf meinem XP-Rechner.

Freundliche Grüße

Richard Fonfra
Freundliche Grüße

rifo
Kay (Administrator) #2
User title: Weltverbesserer
Member since Nov 2007 · 1509 posts · Location: Magdeburg
Group memberships: Administratoren, Mitglieder
Show profile · Link to this post
Das ist eine falsche Positivmeldung!
Ich kompiliere jede SuRun-Version und packe danach sofort das Archiv.
InstallSuRun.exe enthält alle anderen SuRun-Dateien als Ressourcen.
Ich denke, dass der Virenscanner das anmeckert.
InstallSuRun hat sich seit Ewigkeiten nicht verändert.
Deshalb meldet der Scanner auch alte SuRun-Versionen als Viren.

Weil der Quelltext mit im ZIP ist, kannst das einfach prüfen. Besorge Dir ein VC, führe BuildSuRun.cmd aus und scanne direkt danach InstallSuRun.exe...
rifo #3
Member since Jan 2009 · 19 posts · Location: 97285 Röttingen
Group memberships: Mitglieder
Show profile · Link to this post
Du hast offenbar recht. Zig Virenscanner finden in SuRun nichts, nur Avira.

Ich habe mir einen VC besorgt, finde aber den Quelltext nicht. Die SuRun-Version ist 1.2.0.8. Wird der Quelltext nur ausgepackt, wenn man SuRun installiert? Wenn ja, müsste ich ihn ja unter C:\Programme\SuRun auf meinem XP-Rechner finden.

MfG

Richard
Freundliche Grüße

rifo
Kay (Administrator) #4
User title: Weltverbesserer
Member since Nov 2007 · 1509 posts · Location: Magdeburg
Group memberships: Administratoren, Mitglieder
Show profile · Link to this post
Whooops.. Dachte, Du nimmst 'ne Beta...

Der SuRun 1.2.0.8 Quelltext ist hier: http://kay-bruns.de/download/surunsrc.zip
Cosmo #5
Member since Mar 2008 · 451 posts
Group memberships: Mitglieder
Show profile · Link to this post
Du hattest diese Frage gestern auch in de.comp.os.ms-windows.misc und ungefähr ein Dutzend im Tenor gleichlautende Antworten (Avira läßt FP grüßen) bekommen. Das zur Vervollständigung. (Womit nicht gesagt ist, daß du das Selbst-Kompilat nicht erstellen sollst oder eine Rückfrage hier unangebracht sei; es wird jedoch nichts praktisches dabei heraus kommen. Berichte bitte dein Ergebnis, denn es ist anzunehmen, daß auch andere Avira-FP-Geplagte die Meldung erhalten werden.)
Thomas
This post was edited on 2010-09-23, 11:55 by Cosmo.
rifo #6
Member since Jan 2009 · 19 posts · Location: 97285 Röttingen
Group memberships: Mitglieder
Show profile · Link to this post
In reply to post #4
Hi,

ich bin kein Programmierer. Wie kompiliere ich jetzt dieser zig Dateien, die ich auf meinen Desktop kopiert habe? Eine Datei names BuildSuRun.cmd habe ich auf der ganzen Festplatte nicht gefunden.

Grüße

Richard
Freundliche Grüße

rifo
rifo #7
Member since Jan 2009 · 19 posts · Location: 97285 Röttingen
Group memberships: Mitglieder
Show profile · Link to this post
In reply to post #5
@Cosmo

Soll ich deinen Beitrag als Tadel verstehen? Ich möchte kein Risiko eingehen. Auch war man in der von dir erwähnten NG nicht einhellig der Meinung, dass es sich bei mir um einen Fehlalarm handelt.

Mittlerweile hat mir Avira geschrieben, die Analyse der beigefügten Datei habe ergeben, dass es sich um einen Fehlalarm handle und man werde demnächst entsprechend nachbessern. Eine Datei hatte ich gar keine angefügt, das Schreiben war wohl ein Textbaustein.

Trotzdem interessiert es mich spaßeshalber, SuRun selber mal zu kompilieren. Kompiliert habe ich das letzte Mal vor ca. 20 Jahren mit Turbo Pascal, deswegen reizt mich das jetzt der Nostalgie wegen.
Freundliche Grüße

rifo
Cosmo #8
Member since Mar 2008 · 451 posts
Group memberships: Mitglieder
Show profile · Link to this post
Quote by rifo:
Soll ich deinen Beitrag als Tadel verstehen?
Verstehe ich nicht, denn ich hatte geschrieben:
Quote by Cosmo:
Womit nicht gesagt ist, daß ... eine Rückfrage hier unangebracht sei. Berichte bitte dein Ergebnis.[1]
Wie man das so wie interpretieren kann, erschließt sich mir nicht. Wie du meinen Beitrag verstehen willst, werde ich dir nicht vorgeben, mit meiner Aussage hat das gegebenenfalls nichts zu tun.

[1] Ich hatte übrigens auch dazu geschrieben gehabt, warum du das tun solltest. Wie richtig das war, zeigt sich prompt auch bereits heute: http://forum.kay-bruns.de/thread/373;?unb776sess=705571dc55f02693e8ca8be6ceaf981f
Thomas
Kay (Administrator) #9
User title: Weltverbesserer
Member since Nov 2007 · 1509 posts · Location: Magdeburg
Group memberships: Administratoren, Mitglieder
Show profile · Link to this post
In reply to post #6
Quote by rifo:
Wie kompiliere ich jetzt dieser zig Dateien, die ich auf meinen Desktop kopiert habe?
Eine Datei names BuildSuRun.cmd habe ich auf der ganzen Festplatte nicht gefunden.

...noch ein Whoops...die ist nicht im ZIP. :blush:
Hab's gerade gesehen... (wusste schon gar nicht mehr, was man braucht, um SuRun zu kompilieren...)
Danach habe ich mal VS2005 in einer VM installiert und gesehen, was man wirklich braucht.

  • Compiler: SuRun zu kompilieren geht auf jeden Fall mit VC6 (Visual Studio 6) und VC8 (Visual Studio 2005). (Es soll auch mit den neueren Versionen gehen, aber das habe ich nicht probiert)
  • Windows SDK: Für Visual Studio 6 brauchst Du auf jeden Fall noch das "Plattform SDK Feb. 2003".(z.B. hier http://groups.google.com/group/microsoft.public.platformsd…) Das wird zum Kompilieren der x64-Version benötigt. Für Visual Studio 2005 brauchst Du auch ein Windows SDK. Die Version sollte allerdings egal sein. (Hab's nur mit dem o.g. SDK probiert, es werden nur die beiden Dateien wtsapi32.h und wtsapi32.lib benötigt).
  • UPX.exe: InstallSuRun ist mit UPX gepackt. Das brauchst Du also auch (im %PATH%!).

Wenn Du VS2005 benutzt, kannst Du "SuRun.sln" öffnen, und dann erst "x64 Unicode Release|x64", dann "SuRun32 Unicode Release|Win32" und zuletzt "Unicode Release|Win32" kompilieren, oder ein cmd im SuRun-Ordner öffnen, und folgende batch ausführen:
call "%VS80COMNTOOLS%vsvars32.bat"
"%DevEnvDir%\devenv" /rebuild "x64 Unicode Release|x64" "SuRun.sln"
"%DevEnvDir%\devenv" /rebuild "SuRun32 Unicode Release|Win32" "SuRun.sln"
"%DevEnvDir%\devenv" /rebuild "Unicode Release|Win32" "SuRun.sln"

Bei VC6 ist es kompizierter, da die x64 Version mit dem Compiler des SDK gebaut werden muss:
(Ich habe das SDK in E:\MSTOOLS und VC6 in E:\VStudio installiert)
if "%MSSDK%"=="" SET MSSDK=E:\MSTOOLS
SET VC6Dir=%MSDevDir%\..\..
if "%VC6Dir%"=="\..\.." SET VC6Dir=E:\VStudio

SETLOCAL
call %VC6Dir%\VC98\Bin\VCVARS32.BAT
call %MSSDK%\SetEnv.Cmd /X64 /RETAIL
echo building SuRunX64
%VC6Dir%\Common\MSDev98\Bin\MSDEV.EXE /useenv SuRun.dsw /MAKE "SuRun - Win32 x64 Unicode Release" /REBUILD /OUT %TMP%\SuRun64.log
ENDLOCAL
type %TMP%\SuRun64.log
del %TMP%\SuRun64.log 1>NUL 2>NUL

SETLOCAL
set MSVCDir=%VC6Dir%\VC98
set DevEnvDir=%VC6Dir%\Common\IDE
call %VC6Dir%\VC98\Bin\VCVARS32.BAT
call %MSSDK%\SetEnv.Cmd /2000 /RETAIL
set MSVCVer=6.0
echo building SuRun32
%VC6Dir%\Common\MSDev98\Bin\MSDEV.EXE /useenv SuRun.dsw /MAKE "SuRun - Win32 Unicode Release" "SuRun - Win32 SuRun32 Unicode Release" "InstallSuRun - Win32 Release" /REBUILD /OUT %TMP%\SuRun32.log
ENDLOCAL
type %TMP%\SuRun32.log
del %TMP%\SuRun32.log 1>NUL 2>NUL
goto Done

Ich hoffe es klappt. ;-)
rifo #10
Member since Jan 2009 · 19 posts · Location: 97285 Röttingen
Group memberships: Mitglieder
Show profile · Link to this post
@Cosmo:

Hatte wohl einen schlechten Tag. Vergessen wir's.
Freundliche Grüße

rifo
rifo #11
Member since Jan 2009 · 19 posts · Location: 97285 Röttingen
Group memberships: Mitglieder
Show profile · Link to this post
In reply to post #9
Ich hatte noch keine Zeit, SuRun zu kompilieren. Da ich keine der von dir angegebenen Versionen habe, weiß ich auch nicht, ob's ohne Weiteres geht. Ich habe gestern MS Visual Studio 2010 Express und den SQL-Server 2008 heruntergeladen; ob ich letzteres brauche, weiß ich nicht.
Freundliche Grüße

rifo
rifo #12
Member since Jan 2009 · 19 posts · Location: 97285 Röttingen
Group memberships: Mitglieder
Show profile · Link to this post
Ich habe VC2005 gefunden (ich hoffe, von den vielen angebotenen Versionen und Varianten habe ich die richtige genommen) und die 2010er Version wieder runtergeschmissen. Die scheint sich ohnehin nicht mit Avira AntiVir vertragen zu haben. Vielleicht komme ich heute noch dazu, SuRun damit zu kompilieren. Sollte das unter Win7 nicht gehen, probiere ich es einfach von meinem XP-Rechner aus.
Freundliche Grüße

rifo
rifo #13
Member since Jan 2009 · 19 posts · Location: 97285 Röttingen
Group memberships: Mitglieder
Show profile · Link to this post
In reply to post #9
Beim Auspacken des SDK kriege ich die Fehlermeldung, dass die Datei CoreSDK-common.1.4.cab beschädigt sei. Ist das irrelevant?

Bei der Installation des VC2005 kriege ich allerdings die Meldung, diese Version sei inkompatibel mit Win7, vielleicht weil ich die 64-Bit-Version habe. Der angebotene Patch sowie der SP sind jedenfalls x86-Versionen. UPX habe ich runtergeladen, die Batchdatei erstellt.

Bevor ich aber evtl. mit einem inkompatiblen VC mein Win7 zerschieße: Müsste es gehen oder soll ich doch lieber auf meinem XP-Rechner (32 Bit) die Sache durchziehen?
Freundliche Grüße

rifo
rifo #14
Member since Jan 2009 · 19 posts · Location: 97285 Röttingen
Group memberships: Mitglieder
Show profile · Link to this post
In reply to post #9
Ich habe jetzt alles auf meinem XP-Rechner installiert, aber wenn ich die kompilieren.bat ausführe (die Batch für VS2005), wird devenv nicht gefunden. Mit der Windows-Suche finde ich es auch nicht. Was läuft da schief? Ich rufe die Batch übrigens in einem SuRun-cmd-Fenster auf.

Wenn es einen Trick gäbe, um upx in den Pfad reinzubekommen, ohne diese ellenlangen 3 Zeilen abtippen und in diese Batch reinzupacken, wäre ich auch ganz froh.
Freundliche Grüße

rifo
Kay (Administrator) #15
User title: Weltverbesserer
Member since Nov 2007 · 1509 posts · Location: Magdeburg
Group memberships: Administratoren, Mitglieder
Show profile · Link to this post
Ich habe gestern noch nicht geantwortet, weil ich selbst am Ausprobieren bin, wie das mit frei verfügbaren Compilern leicht geht.

DevEnv ist ab VS2005 Standard Edition (die ich noch habe) dabei, fehlt aber bei VS2010 Express (Das ich gestern runter lud)... Du kannst evtl. "SuRun.sln" direkt in Visual Studio laden und in der Reihenfolge, wie oben beschrieben, kompilieren.

Ich mache das mal "Wasserdicht" und schreibe dann, wie es geht.
Close Smaller – Larger + Reply to this post:
Verification code: VeriCode Please enter the word from the image into the text field below. (Type the letters only, lower case is okay.)
Smileys: :-) ;-) :-D :-p :blush: :cool: :rolleyes: :huh: :-/ <_< :-( :'( :#: :scared: 8-( :nuts: :-O
Special characters:
Page:  1  2  next 
Go to forum
Not logged in. · Lost password · Register
This board is powered by the Unclassified NewsBoard software, 20150713-dev, © 2003-2015 by Yves Goergen
Page created in 86.9 ms (57.4 ms) · 134 database queries in 22.4 ms
Current time: 2019-12-09, 23:04:48 (UTC +01:00)