Trojan-Dropper.Win32.MultiJoiner.13.j, nicht Wert eingepflegt zu werden? Einstellungen

[Gast_rock_*]

schade das sie trendmicro nicht miteinbeziehen in virustotal...der würd noch fehlen, dann sind alle großen und namhaften zusammen.

und trendmicro antspyware ist echt nicht schlecht...hat auch den passwort tools ordner gemeldet! hab aber nicht alle drangenommen...

[drweb-online]

kann mir nicht jemand mal die winsis32.exe und mailpv.exe zukommen lassen?

Bei DrWeb scheint sie nicht angekommen zu sein.

ftp: newvirus.drweb-online.com
user: newvirus
pwd: new_virus_up

Verzeichnis ist nicht listbar, download nicht moeglich - nur upload.
Upload von unverschluesselten Dateien ist moeglich (wird nicht automatisch gescannt ..)

Michael

[Gast_rock_*]

ich habs dir jetzt nocheinmal auf den ersten server geladen (rock).

passwort wie gehabt. ist zwar auch ein crypto aber du brauchst kein programm, einfach die exe mit dem passwort entpacken...

hab dir aber schon alles geschickt, einmal crypto, dann 12 stück "lose" in einem zipordner incl. winsis32.exe. !

diese winsis32.exe ist "aussen" benannt mit backdoor dropper, porndialer.

rock

[Voyager]

wie hastn du das zusammenbekommen rock, hast du beim Surfen nicht aufgepasst?

[drweb-online]

@rock
Es wurde schon so einiges hinzugefuegt heute.
(winsis32.exe war inzwischen dort schon bekannt - ich hatte die nur uebersehen.)

Allerdings die mailpv.exe habe ich nicht gesehen.

Danke.

[Gast_rock_*]

die mailpv.exe findest du hier:

http://www.rokop-security.de/index.php?sho...ndpost&p=145613

es ist eine der passwort tools von nirsoft, indemfall das für mail. es sind alle in einem zipordner. 6 stück.

haben wir eigentlich die letzetn vielen postings davon gepostet...irgendwie...

nagut, der stress!

[drweb-online]

Ha,...hast Recht,... waren zu viele Files

Sollte nun alles bekannt/hinzugefuegt sein, auch die Tools:

Asterisk Logger\astlog.exe is hacktool program Tool.PassView - ignored!
Dialupass\dialupass.exe is hacktool program Tool.DialupPass.243 - ignored!
Mail PassView\mailpv.exe is hacktool program Tool.ShowPass - ignored!
MessenPass\mspass.exe is hacktool program Tool.MessenPass - ignored!
Network Password Recovery\netpass.exe is hacktool program Tool.Netpass - ignored!
Protected Storage PassView\pspv.exe is hacktool program Tool.PassView - ignored!

"ignored" ist die default-Einstellung fuer HackTools hier.

Danke fiuer die Geduld!

Micha

[Gast_rock_*]

wie hastn du das zusammenbekommen rock, hast du beim Surfen nicht aufgepasst? 

hehe...na sowas findet man irgendwie über den lauf der zeit...

Danke fiuer die Geduld! 

gern geschehen...auch in meinem interesse!

den server account behalt ich mir mal bis auf weiteres!

[Gast_rock_*]

jetzt hab ich auch endlcih das thema gefunden wo die winsis32.exe gepostet war!
nur hat die nichts mit dem small zu tun den er zu beginn gepostet hat...die winsis32.exe war zusätzlich am rechner und in einem link aus dem log ersichtlich..die hat nämlich sein scanner und was er nutze nicht erkannt...

http://www.rokop-security.de/index.php?sho...ndpost&p=140382

beginnt etwas weiter oben...ist mittlerweile editiert. (link weg)

wurde seinerzeit mehrmals hochgeladen, (1 Monat her) nicht nur von mir sicherlich..zuminderst vom anwender selber,...soviel ein letztes mal zur automatischen weiterleitung, bzw. zur "signatur-verbesserung".

edit:
hier das posting wo noch die links zu der berüchtigen datei sind...gibts gleich ein paar zips davon...kann sich ja micha von dr.web vielleicht auch noch ganz anschauen wo da was wirklich herkommt...und was es da hat...ob da echt ein porndial oder so'n zeug in der anwendung Driver Genius oder drumherum steckt...

http://www.rokop-security.de/index.php?sho...ndpost&p=141510


Der Beitrag wurde von rock bearbeitet: 29.04.2006, 10:03

[drweb-online]

...ob da echt ein porndial oder so'n zeug in der anwendung Driver Genius oder drumherum steckt...

http://www.rokop-security.de/index.php?sho...ndpost&p=141510

[right][snapback]145729[/snapback][/right]

Hmm... Du meinst aber nicht das
"WinSIS-X Schäferhunde Informations System - WinSIS-X DataBase"

http://home19.inet.tele.dk/winsisx/SISdata...er/hunddown.htm

(vielleicht sind die ja auch infiziert - mit der "Hundegrippe" )

Micha

[Gast_rock_*]

umpf! das hätt ich mir sparen könne...wenn ich jetzt so nachlese glaub ich zottel wusste garnimmer was wer wo ist...das sind einfach irgendwelche links....was ist Genius irgendwo?? welche schäferhunde??

wie gesagt der porndialer winsis32.exe war von impotato . der link fehlt jedoch

bei sunbelt gibts aber darüber eine info. (impotato porndialer)



Der Beitrag wurde von rock bearbeitet: 29.04.2006, 10:55

[Stefan]

Also BitDefender, eTrust, McAfee und Symantec, so langsam wird es peinlich:


... und falls wieder der Einwand kommt, dass es Abweichungen zwischen den Scannern auf Virustotal bzw. Jottis und den zu Hause installierten Windows-Versionen geben kann, so kann ich das zumindest für BitDefender ausschließen. Da kommt die 9er Standard auch zu keinem anderen Ergebnis.

[Gast_Scrapie_*]

Tag

Nicht nur bei v1.3 siehts so besch**** aus, auch bei der Neusten.
Seit meinem letzten Posting hier am 27.04.06 um 22:49 hat sich bei der Erkennung des Original-Binders nichts getan:

Zum Vergleiche das Bild vom 27.04:



Und bei der Einbindung der neuen UPX-Version hat einzig und alleine Ikarus es fertig gebracht, dafür hat TheHacker ihn wieder entfernt?:

Zum Vergleiche das Bild vom 27.04:




Was soll man da noch groß sagen?


Scrapie

[Manu]

Viel kurioser ist das folgende Ergebnis:
Das Teil schwirrt UPX-gepackt im Netz herum. Die Erkennung sieht so aus:


"Entpackt" man es und lässt es dann checken, erhält man dieses Ergebnis:



Bitter, wenn anscheinend so stur Signaturen eingepflegt werden, dass man das Entpacken ganz außen vor lässt.

[Stefan]

Ohne Worte.

[Gast_rock_*]

tja...scheinbar wollen manche auch nicht bei schärferen sachen - ds ding ist aber schon ein etwas älteres....

trotzdem...3 nieten....

AntiVir Worm/Drefir.G.2 gefunden
ArcaVir Trojan.Rbot.Gen.107312.MX gefunden
Avast Win32:Trojan-gen. {Other} gefunden
AVG Antivirus IRC/BackDoor.SdBot.IOW gefunden
BitDefender Win32.Drefir.G@mm gefunden
ClamAV Keine Viren gefunden
Dr.Web Win32.IRC.Bot.based gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet W32/RBot!tr.bdr gefunden
Kaspersky Anti-Virus Backdoor.Win32.Rbot.gen gefunden
NOD32 Win32/Rbot gefunden
Norman Virus Control W32/Spybot.XBR gefunden
UNA Keine Viren gefunden
VirusBuster Worm.Rbot.CXW gefunden
VBA32 Backdoor.Win32.Rbot.gen gefunden

was solls...das ganze hat maximal zur folge das die mitarbeit oder das interesse an einsendungen und alles drum herum den bach runter geht...

[Gast_rock_*]

Also BitDefender, eTrust, McAfee und Symantec, so langsam wird es peinlich:

stef,...was ist dieses multijoiner oder microjoiner eigentlich was schlimmes?

kannst du mir das zwecks mc afee auch schicken?

mal sehen ob es am desktopscanner meckert.

wenn nicht...pech gehabt!

[Stefan]

Ich würde ihn dir ja gern schicken, wenn du mir eine Mailadresse hinterlässt.
Allerdings funktioniert das PM-System wie es aussieht noch nicht wieder.
Also lass dir was einfallen.

stef,...was ist dieses multijoiner oder microjoiner eigentlich was schlimmes?

Was es macht, hatte @bond7 hier mal angerissen.

[Gast_rock_*]

ja schicks einfach mal an .....

danke!

Der Beitrag wurde von rock bearbeitet: 04.05.2006, 19:48

[Voyager]

Quelle: Manuelle Prüfung
Risikokategorie Hacker-Tool
Gesamtrisikoauswirkung: Hoch
Leistung: Hoch
Datenschutz: Hoch
Entfernen: Hoch
Stealth: Hoch
Klicken Sie hier, um weitere Informationen über dieses Risiko zu erhalten: Hacktool.Exebind
Durchgeführte Aktion: Entfernt
Beschreibung: Betroffene Bereiche:
1 Dateien:
C:\Bild-Dieter__JPG\Bild-Dieter__JPG.com - Gelöscht

wann der Trojan-Dropper.Win32.MultiJoiner.13.j, eingepflegt wurde kann ich allerdings nicht sagen weil ich heute per zufall mal im Quarantäneordner war.