Detekt hält Qihoo Total Securty für Staatstrojaner.

[Dr.Virus]

Computer mit " Detekt " überprüft, laut Log soll Qihoo den " Trojaner Xtreme RAT " beinhalten, FP?

Hat noch jemand von euch seinen PC gescannt?

[Alex]

Ich scanne gerade.Wie lange hat es bei dir gedauert ?

[Dr.Virus]

Über 1 Stunde, habe abgebrochen, dann kam die Meldung. Soll ich das Log von Detekt mal einstellen?

[Alex]

Ja gerne Dr.Virus.

[Dr.Virus]

Log:

014-11-20 23:01:55,273 - detector - INFO - Starting with process ID 6364
2014-11-20 23:01:55,351 - detector - INFO - Selected Profile Name: Win7SP1x64
2014-11-20 23:01:55,351 - detector - INFO - Selected Driver: C:\Users\JRGEN~1\AppData\Local\Temp\_MEI18602\drivers\winpmem64.sys
2014-11-20 23:01:55,351 - detector.service - INFO - Launching service destroyer...
2014-11-20 23:01:55,351 - detector.service - DEBUG - Unable to OpenService: (1060, 'OpenService', 'Der angegebene Dienst ist kein installierter Dienst.')
2014-11-20 23:01:55,351 - detector.service - INFO - Trying to stop the winpmem service...
2014-11-20 23:01:55,351 - detector.service - INFO - Trying to delete the winpmem service...
2014-11-20 23:01:55,351 - detector.service - DEBUG - Unable to delete the service: (6, 'DeleteService', 'Das Handle ist ung\xfcltig.')
2014-11-20 23:01:55,631 - detector.service - INFO - Trying to start the winpmem service...
2014-11-20 23:01:55,678 - detector - INFO - Service started
2014-11-20 23:01:55,678 - detector - INFO - Selected Yara signature file at C:\Users\JRGEN~1\AppData\Local\Temp\_MEI18602\rules\signatures.yar
2014-11-20 23:01:55,678 - detector - INFO - Obtaining address space and generating config for volatility
2014-11-20 23:01:57,880 - detector - INFO - Address space: <volatility.plugins.addrspaces.amd64.AMD64PagedMemory object at 0x096FABD0>, Base: <volatility.plugins.addrspaces.win32pmem.Win32FileAddressSpace object at 0x08ACE310>
2014-11-20 23:01:57,880 - detector - INFO - Profile: <volatility.plugins.overlays.windows.win7.Win7SP1x64 object at 0x08ACE2F0>, DTB: 0x187000
2014-11-20 23:01:57,880 - detector - INFO - Starting yara scanner...
2014-11-21 00:18:15,542 - detector - WARNING - Process QHActiveDefens (pid: 6356) matched: Xtreme at address: 0xC9F6E5E, Value:

58 74 72 65 6d 65 52 41 54 2e 54 52 2f 47 72 61 XtremeRAT.TR/Gra
66 74 6f 72 2e 31 34 31 36 30 31 2e 54 52 2f 5a ftor.141601.TR/Z
75 73 79 2e 36 32 34 33 37 2e 54 52 2f 53 79 6d usy.62437.TR/Sym
6d 69 2e 34 30 36 31 37 2e 54 52 2f 4b 61 7a 79 mi.40617.TR/Kazy
2e 33 38 31 33 37 32 2e 41 50 50 4c 2f 53 65 76 .381372.APPL/Sev
61 73 2e 54 52 2f 53 74 72 69 63 74 6f 72 2e 35 as.TR/Strictor.5
31 38 32 37 2e 54 52 2f 53 70 79 2e 31 34 34 33 1827.TR/Spy.1443
38 34 2e 54 52 2f 4b 61 7a 79 2e 31 35 35 30 38 84.TR/Kazy.15508
36 2e 41 50 50 4c 2f 42 75 6e 64 6c 65 72 2e 41 6.APPL/Bundler.A
50 50 4c 2f 42 75 6e 64 6c 65 72 2e 41 67 65 6e PPL/Bundler.Agen
74 2e 54 52 2f 52 6f 67 75 65 2e 31 31 32 35 33 t.TR/Rogue.11253
39 34 39 2e 41 50 50 4c 2f 4f 75 74 42 72 6f 77 949.APPL/OutBrow
73 65 2e 41 6e 64 72 6f 69 64 2f 47 65 64 6d 61 se.Android/Gedma
2e 54 52 2f 53 74 72 69 63 74 6f 72 2e 34 30 35 .TR/Strictor.405
36 33 2e 41 50 50 4c 2f 53 6f 66 74 33 32 44 6f 63.APPL/Soft32Do
77 6e 2e 41 50 50 4c 2f 4f 70 74 49 6e 73 74 61 wn.APPL/OptInsta

2014-11-21 00:18:16,868 - detector - WARNING - Process QHActiveDefens (pid: 6356) matched: Xtreme at address: 0xD6339B4, Value:

58 74 72 65 6d 65 52 41 54 2e 32 38 34 32 38 32 XtremeRAT.284282
2e 31 30 33 35 32 35 33 2e 32 31 34 30 38 36 2e .1035253.214086.
31 31 38 32 30 35 37 2e 38 38 36 34 31 37 30 2e 1182057.8864170.
32 38 31 37 39 2e 32 32 34 34 31 37 2e 32 30 31 28179.224417.201
39 35 31 2e 31 30 37 30 32 31 2e 35 38 36 38 35 951.107021.58685
2e 64 63 78 70 2e 38 36 37 36 39 2e 4b 75 76 61 .dcxp.86769.Kuva
2e 32 32 35 32 39 31 2e 31 35 37 33 32 34 2e 36 .225291.157324.6
35 30 36 32 37 2e 31 31 35 32 34 30 2e 31 30 35 50627.115240.105
31 30 30 2e 39 36 36 30 30 2e 31 39 34 30 37 39 100.96600.194079
36 2e 61 66 62 77 2e 32 33 34 35 35 37 37 2e 32 6.afbw.2345577.2
38 34 38 32 36 30 2e 31 31 37 38 36 33 37 2e 41 848260.1178637.A
64 64 4c 79 72 69 63 73 41 43 2e 32 32 32 38 38 ddLyricsAC.22288
37 2e 32 31 33 37 34 34 2e 32 37 33 36 36 2e 31 7.213744.27366.1
33 30 35 38 34 37 2e 32 37 32 30 34 2e 37 36 36 305847.27204.766
37 37 37 36 2e 37 38 37 39 32 37 2e 52 61 6d 6e 7776.787927.Ramn
69 74 42 54 2e 33 34 38 37 36 37 2e 31 31 33 35 itBT.348767.1135

2014-11-21 00:38:03,895 - detector - INFO - Scanning finished
2014-11-21 00:38:03,895 - detector.service - INFO - Trying to stop the winpmem service...
2014-11-21 00:38:03,931 - detector.service - INFO - Trying to delete the winpmem service...
2014-11-21 00:38:03,933 - detector - INFO - Service stopped
2014-11-21 00:38:03,934 - detector - INFO - Analysis finished
2014-11-23 16:54:19,391 - detector - INFO - Starting with process ID 4476
2014-11-23 16:54:19,421 - detector - INFO - Selected Profile Name: Win7SP1x64
2014-11-23 16:54:19,421 - detector - INFO - Selected Driver: C:\Users\JRGEN~1\AppData\Local\Temp\_MEI23802\drivers\winpmem64.sys
2014-11-23 16:54:19,421 - detector.service - INFO - Launching service destroyer...
2014-11-23 16:54:19,421 - detector.service - DEBUG - Unable to OpenService: (1060, 'OpenService', 'Der angegebene Dienst ist kein installierter Dienst.')
2014-11-23 16:54:19,421 - detector.service - INFO - Trying to stop the winpmem service...
2014-11-23 16:54:19,421 - detector.service - INFO - Trying to delete the winpmem service...
2014-11-23 16:54:19,421 - detector.service - DEBUG - Unable to delete the service: (6, 'DeleteService', 'Das Handle ist ung\xfcltig.')
2014-11-23 16:54:26,878 - detector.service - INFO - Trying to start the winpmem service...
2014-11-23 16:54:26,910 - detector - INFO - Service started
2014-11-23 16:54:26,910 - detector - INFO - Selected Yara signature file at C:\Users\JRGEN~1\AppData\Local\Temp\_MEI23802\rules\signatures.yar
2014-11-23 16:54:26,910 - detector - INFO - Obtaining address space and generating config for volatility
2014-11-23 16:54:29,500 - detector - INFO - Address space: <volatility.plugins.addrspaces.amd64.AMD64PagedMemory object at 0x0969F9D0>, Base: <volatility.plugins.addrspaces.win32pmem.Win32FileAddressSpace object at 0x08A56250>
2014-11-23 16:54:29,500 - detector - INFO - Profile: <volatility.plugins.overlays.windows.win7.Win7SP1x64 object at 0x08A56130>, DTB: 0x187000
2014-11-23 16:54:29,500 - detector - INFO - Starting yara scanner...
2014-11-23 17:18:31,003 - detector - WARNING - Process QHActiveDefens (pid: 1824) matched: Xtreme at address: 0xF5A39B4, Value:

58 74 72 65 6d 65 52 41 54 2e 32 38 34 32 38 32 XtremeRAT.284282
2e 31 30 33 35 32 35 33 2e 32 31 34 30 38 36 2e .1035253.214086.
31 31 38 32 30 35 37 2e 38 38 36 34 31 37 30 2e 1182057.8864170.
32 38 31 37 39 2e 32 32 34 34 31 37 2e 32 30 31 28179.224417.201
39 35 31 2e 31 30 37 30 32 31 2e 35 38 36 38 35 951.107021.58685
2e 64 63 78 70 2e 38 36 37 36 39 2e 4b 75 76 61 .dcxp.86769.Kuva
2e 32 32 35 32 39 31 2e 31 35 37 33 32 34 2e 36 .225291.157324.6
35 30 36 32 37 2e 31 31 35 32 34 30 2e 31 30 35 50627.115240.105
31 30 30 2e 39 36 36 30 30 2e 31 39 34 30 37 39 100.96600.194079
36 2e 61 66 62 77 2e 32 33 34 35 35 37 37 2e 32 6.afbw.2345577.2
38 34 38 32 36 30 2e 31 31 37 38 36 33 37 2e 41 848260.1178637.A
64 64 4c 79 72 69 63 73 41 43 2e 32 32 32 38 38 ddLyricsAC.22288
37 2e 32 31 33 37 34 34 2e 32 37 33 36 36 2e 31 7.213744.27366.1
33 30 35 38 34 37 2e 32 37 32 30 34 2e 37 36 36 305847.27204.766
37 37 37 36 2e 37 38 37 39 32 37 2e 52 61 6d 6e 7776.787927.Ramn
69 74 42 54 2e 33 34 38 37 36 37 2e 31 31 33 35 itBT.348767.1135

2014-11-23 17:21:01,096 - detector - WARNING - Process QHActiveDefens (pid: 1824) matched: Xtreme at address: 0x1503AD76, Value:

58 74 72 65 6d 65 52 41 54 2e 54 52 2f 47 72 61 XtremeRAT.TR/Gra
66 74 6f 72 2e 31 34 31 36 30 31 2e 54 52 2f 5a ftor.141601.TR/Z
75 73 79 2e 36 32 34 33 37 2e 54 52 2f 53 79 6d usy.62437.TR/Sym
6d 69 2e 34 30 36 31 37 2e 54 52 2f 4b 61 7a 79 mi.40617.TR/Kazy
2e 33 38 31 33 37 32 2e 41 50 50 4c 2f 53 65 76 .381372.APPL/Sev
61 73 2e 54 52 2f 53 74 72 69 63 74 6f 72 2e 35 as.TR/Strictor.5
31 38 32 37 2e 54 52 2f 53 70 79 2e 31 34 34 33 1827.TR/Spy.1443
38 34 2e 54 52 2f 4b 61 7a 79 2e 31 35 35 30 38 84.TR/Kazy.15508
36 2e 41 50 50 4c 2f 42 75 6e 64 6c 65 72 2e 41 6.APPL/Bundler.A
50 50 4c 2f 42 75 6e 64 6c 65 72 2e 41 67 65 6e PPL/Bundler.Agen
74 2e 54 52 2f 52 6f 67 75 65 2e 31 31 32 35 33 t.TR/Rogue.11253
39 34 39 2e 41 50 50 4c 2f 4f 75 74 42 72 6f 77 949.APPL/OutBrow
73 65 2e 41 6e 64 72 6f 69 64 2f 47 65 64 6d 61 se.Android/Gedma
2e 54 52 2f 53 74 72 69 63 74 6f 72 2e 34 30 35 .TR/Strictor.405
36 33 2e 41 50 50 4c 2f 53 6f 66 74 33 32 44 6f 63.APPL/Soft32Do
77 6e 2e 41 50 50 4c 2f 4f 70 74 49 6e 73 74 61 wn.APPL/OptInsta

2014-11-23 18:30:34,691 - detector - INFO - Scanning finished
2014-11-23 18:30:34,691 - detector.service - INFO - Trying to stop the winpmem service...
2014-11-23 18:30:34,723 - detector.service - INFO - Trying to delete the winpmem service...
2014-11-23 18:30:34,723 - detector - INFO - Service stopped
2014-11-23 18:30:34,723 - detector - INFO - Analysis finished

[Dr.Virus]

Entsprechende exe.Dateien von Avira und Avast werden auch als Xtreme RAT gemeldet.

[Alex]

Wenn man nach Xtreme RAT sucht findet man ein Paar Meldungen im Netz.

Zum Beispiel hier wurde Avira als Fund gefunden.

Quelle: http://forum.chip.de/viren-trojaner-wue ... 17065.html

Und hier wird erklärt wie man Xtreme RAT entfernt.

Quelle: http://praxistipps.chip.de/xtreme-rat-e ... -vor_36319

[Dr.Virus]

Die Links kenne ich, wäre doch vielleicht erst einmal zu klären, ob es nicht ein FP ist oder sehe ich das falsch?

[Alex]

Ich bin kein Experte bei der Erkennung von Schädlingen,aber wenn er Qihoo als Staatstrojaner erkennt,dann sieht es nach FP aus.

[Dr.Virus]

Offenbar sind bestimmte Dateien von Avira, Avast und Qihoo dem Trojaner Xtreme RAT ähnlich, bevor ich alles neu aufsetze, warte ich mal ab. was da noch so kommt, FP halte ich für wahrscheinlich.