Hallo!

ja, lange wähnte ich mich sicher ...

habe fremde Exe-Dateien nur in ner Sandbox gestartet und das auch nur im Nutzeraccount.
... und schon gar nicht als Admin!


Jetzt hatte ich mich eben über die Dateigröße meiner aktuellen Programm.Exe gewundert und dachte, mhh, erstell mal einfach ein leeres Projekt mit einer leeren Form und compiliere.
Hab das dann bei Virus total hochgeladen; Ergebnis: Infiziert.

EDIT: Habe hier mal einen Link zu VirusTotal:

https://www.virustotal.com/de/file/0...is/1442699247/

Da ich früher schon mal Probleme mit einem "Virus" dieser Art hatte, hab dann sofort im Verzeichnis LIB meine .dcu untersucht.

==================================================
Filename : SYSCONST.DCU
MD5 : 294b55a4e417e3766d608cc98a0a0101
SHA1 : 2a17a375d3502f6883d031e82f6b4d1af652cbfb
CRC32 : 6277051e
SHA-256 : 0de1fe9aa3bd5295fcec4ead43b15fc3ee84b287b1561d91ac bd72f735b46855
SHA-512 :
SHA-384 :
Full Path : C:\Program Files (x86)\Borland\Delphi5\Lib\SYSCONST.DCU
Modified Time : 18.08.1999 06:00:00
Created Time : 18.08.1999 06:00:00
File Size : 7.785
File Version :
Product Version :
Identical :
Extension : DCU
File Attributes : A
==================================================

und dann sogar von meiner SetupCD die sysconst.dcu herunterkopiert - die Hashwerte sind dieselben.

Kann doch eigentlich nicht sein?! ne damals gekaufte, originale CD ... !!!

Dann sogar mit Freecommander und ADMINrechten die sysconst geklont und nochmal von der CD ins Verzeichnis runterkopiert (daher die GOSSBUCHSTABEN im Dateinamen, ursprünglich sind die Kleinbuchstaben).
Doch die Infektion bleibt noch immer.

findet sich natürlich auch in der compilierten Exe-Datei ...
Aber ... sagt das was aus?

Jetzt hab ich per google und auch hier mal gesucht ...

http://www.delphipraxis.net/942756-post10.html

Aber nu bin ich ratlos. Wo soll ich denn noch suchen?

Was mach ich denn jetzt?
Ich schreibe mir gerade ein winziges Sortierprogramm (dafür reicht mein Schul-Pascal noch), daß ich am Montag in der Uni für die Verarbeitung meiner Forschungsdaten bräuchte ...

Wer sagt denn das es sich um einen Virus handelt?

Guten Abend Luckie,
Danke für Deine Antwort:

Oh, Mist ...
ich habe vergessen, den Link zu VirusTotal zu posten:

https://www.virustotal.com/de/file/0...is/1442699247/

Ich habe hier gesamtes compiliertes Projekt zu Untersuchungszwecken angehängt.
Die vireninfizierte EXE-Datei liegt in einem Unterordner, damit man nicht versehentlich darauf klickt, wenn man den Source anschauen möchte.

zusätzlich habe ich die 7z-Datei verschlüsselt -
nicht, daß die versehentlich einer startet und es nachher heißen würde, daß ich Viren verbreiten würde.
Passwort: (ganze Zeile unten ↓↓↓ .. )
!!!VORSICHT !!! - JA: Ich habe verstanden, diese Datei enthält einen VIRUS !
Sollte jemand meinen, das sei zu gefährlich, bitte nur den Anhang löschen (nicht diesen Thread. Ich brauche wirkliche Abhilfe. Danke)

Zwei Links dazu
http://www.eset.eu/encyclopaedia/win...us-lg-2?lng=en
http://www.symantec.com/security_res...550-99&tabid=2

Danke, Sir Rufo.
Deine Links hab ich eben aufgerufen.
Aber ich habe Delphi 5 standard.
Diese Dateien z.B. APMV.exe usw. habe ich nicht auf meinem System finden können. (OK, was ja auch nichts heißen muß ... auweia ...)

Naja, aber ich denke, das betrifft eher die neueren Delphi Versionen?
die Datei SysInit.pas (Delphi >5?) gibt es ebenfalls nicht.
Also ich habe auch alle versteckten Dateien anzeigen lassen.

Mhh, könnte ich sonst noch etwas untersuchen?

ganz LG und vielen Dank schon einmal :/

System neu aufsetzen.

Von MICROSOFT:
Virus:Win32/Induc.A is a virus that infects Delphi library source files. Any executables compiled/linked by the Delphi compiler on the affected machine will contain the malicious code.

Note: We have received many reports of files, such as utilities and other programs, infected by Virus:Win32/Induc.A from the wild. When a computer is infected by Virus:Win32/Induc.A, ALL files compiled or linked by the Delphi compiler on that computer will be infected. It appears that a large number of freely available applications have been distributed unknowingly infected by this virus.

https://www.microsoft.com/security/p...tid=2147627628

Hallo,

hast Du auf Deinem System keinen Virenscanner? Dieser müsste eigentlich den Virus finden. Wenn Du einen Virenscanner installiert hast würde ich eine vollständigen Überprüfung des Rechners durchführen.

Bis bald Chemiker

Hab' seit Jahren Delphi 7 und hatte auch schon mal öfter Virenalarm. Der trat beim Compilieren von Programmen auf, die ich gerade schrieb.

Der Virenfund war abhängig davon, welche Funktionen ich aus welcher Unit genutzt habe.

Es scheint in Delphi geschriebene Viren/Trojaner zu geben, die ähnliche Signaturen enthalten, wie sie beim Schreiben von Programmen, abhängig von den genutzten Funktionen... und eingebundenen Units, entstehen.

Überprüfungen mit unterschiedlichen Virenscanner brachten dann jeweils unterschiedliche Ergebnisse, ob nun eine Infektion vorlag oder nicht.

Dass die Datei auf der CD bereits eine Infektion aufweist, halte ich eher nicht für wahrscheinlich, dann müssten ja alle Delphi5-Programme, die je geschrieben wurden und die SYSCONST.DCU nutzten, verseucht sein. Ein derartiges Desaster hätten wir hier bestimmt mitbekommen.

Ansonsten Herstellerinfos:
Frequently Asked Questions about the W32/Induc-A Virus (Compile-A-Virus)

By: Nick Hodges
http://edn.embarcadero.com/article/39851

Passend zum Thema aber eigentlich OffTopic: Malware infiziert iOS-Compiler Xcode