Programm decompilen

[x BoooM x]

Hey,

ist jemand dazu fähig folgenden Programm zu decompilen? Ist nur ein Keybinder (Programm um über Tastatur etwas ausführen zu lassen).

Und zwar hat ein Kumpel folgendes Problem, dass sich der Task-Manager immer nach dem öffnen direkt wieder schließt. Schon einiges durchlaufen lassen wie Malwarebytes, Autostart überprüft, Prozesse mit Prozess-Explorer überprüft usw.

Jedenfalls war das das einzige Programm was er in der Zeit benutzt hatte Overwolf und den Keybinder.

Laut PID werden auch ca 4 Seiten über den Keybinder geöffnet.

Es meinten auch mal Personen, dass mit dem Programm was faul ist.

www.dezor.de/coke/kbcontent/install.exe

Das einige Keybinder die mit AHK geschrieben wurden selbst als Virus erkannt werden ist normal.

Zufälligerweise hat das Problem ein Teammitglied von dem GameServer welches den Keybinder mal benutzt hat. Könnte also eventuell wirklich was drann sein, das sich da irgendwas schädliches im Code befindet.

Kann jemand rausfinden was da für Seiten geöffnet werden bzw. ob im Code etwas schädliches vorhanden ist?

Womit das Programm gepackt wurde, kann ich leider nicht sagen.

[!lkay]

Die .exe ist vermutlich native, also einfaches decompilen ist wohl nicht drin.

Wieso nicht in einer VM testen und dort sehen, was passiert?

[x BoooM x]

Den kann man ruhig ausführen und öffnen tut er sich dann auch.

Nur wird wohl im Hintergrund eventuell noch irgendwas gemacht.

Habe keine VM und weiß auch nicht wo man dann nachschauen soll was noch im Hintergrund geladen wird, wenn überhaupt.

Systemwiederherstellung geht auch nicht: Die Systemwiederherstellung wurde nicht erfolgreich ausgeführt. Die Systemdateien und Einstellungen des Computers wurden nicht geändert.
Details:
Fehler beim Zugriff auf eine Datei durch die Systemwiederherstellung. Möglicherweise wird auf diesem Computer ein Antivirenprogramm ausgeführt. Deaktivieren Sie das Antivirenprogramm vorübergehend, und starten Sie die Systemwiederherstellung erneut.
Unbekannter Fehler bei der Systemwiederherstellung. (0x80070005)

Virenscanner deaktiviert, sogar mal deinstalliert. Geht trotzdem nicht.

[AFU]

Ich kann mir das gerne heute abend einmal ansehen. Grundsätzlich kann ich die Exe decompen, wenn Sie nicht obfuskiert ist. Falls ich das bis heute abend nicht erledigt habe, schicke mir einfach eine kurze pn.

[x BoooM x]

Ist inzwischen decompilt:

Keybinder: hastebin
Downloader: hastebin
Installer: hastebin
www: hastebin

Habe alles durchgeguckt, aber ist denke nichts dabei.

Wenn ich auch über STRG + F nur nach http schaue, lassen sich auch nur Bilder, Textdateien und der Keybinder selber finde.

Scheint also clean zu sein, oder? Würde man an eine .exe einen Virus anhängen, würde man das doch im Code nicht sehen, oder? Könnte man da dann trotzdem was näheres dazu rausfinden?

[!lkay]

Scheint also clean zu sein, oder? Würde man an eine .exe einen Virus anhängen, würde man das doch im Code nicht sehen, oder? Könnte man da dann trotzdem was näheres dazu rausfinden?

Es gibt dutzende Möglichkeiten, einen Trojaner zu starten. Man kann ihn in einen anderen Prozess injecten, auch
native. Per Bytearray, per Download der .Exe .. alles möglich.

Dafür müsste man sich das Programm aber en detail ansehen.

[Pedalis]

Technisch gesehen kannst du überall wo ein code im spiel ist auch einen virus einschleusen.. also egal ob Bild, Musik, Video, Dokument usw. Viele Trojaner sind so konzipiert dass sie auch erst nach nem Bestimmten Intervall sich selbst aktivieren (stichwort: Timebomb) Damit der Anwender sich in Trügerischer Sicherheit wiegen kann

Ich empfehle dir nen Programm Unpacker.