Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Gast_Eazi_*]

aber am 21.9.

http://www.abload.de/image.php?img=virusto...ergebnis7y0.png

Oki ...wer lesen kann ist klar im Vorteil...Thx for waking me up


Nun wieder OT



Liebe Grüße,
B.

[Rios]

Messenger Skinner

[Voyager]

Und hier isser , der böse Bube "messengerskinner.exe"

Der hat sogar Code Injection im Portfolio , aus dem Grunde musste Narton Antibot das virtuelle XP zur Bereinigung neustarten und konnte den Schädling dann löschen.

[Voyager]

Und wieder eine neue Spamwelle mit "Ihr konto ist leer" Erschreckungsmeldungen
Ergebnis der Quittung.exe http://securityresponse.symantec.com/secur...-080315-1729-99

[Gast_Scrapie_*]

Hi

Kleiner Skype-Wurm mit 100% Erkennung im OFF:


Funktioniert leider nur wenn Skype installiert ist, ansonsten zieht er gleich am Anfang die Handbremse so wie es aussieht.
Zudem dürfte er auch nur unter englischen System funktionieren, da der Pfad anscheinend hardcoded ist:


Tut man ihm aber den Gefallen und legt den verlangten Pfad manuell an, dann kopiert er sich dort hinein und installiert sich parallel in %SYSTEM32% als default Bildschirmschoner mit der passenden Endung *.scr.


Scrapie

[Heike]

Datei test.EXE empfangen 2007.09.29 13:31:53 (CET)


Ergebnis: 0/32 (0%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.29.0 2007.09.28 -
AntiVir 7.6.0.18 2007.09.28 -
Authentium 4.93.8 2007.09.28 -
Avast 4.7.1043.0 2007.09.28 -
AVG 7.5.0.488 2007.09.28 -
BitDefender 7.2 2007.09.29 -
CAT-QuickHeal 9.00 2007.09.28 -
ClamAV 0.91.2 2007.09.29 -
DrWeb 4.33 2007.09.29 -
eSafe 7.0.15.0 2007.09.29 -
eTrust-Vet 31.2.5169 2007.09.27 -
Ewido 4.0 2007.09.29 -
FileAdvisor 1 2007.09.29 -
Fortinet 3.11.0.0 2007.09.29 -
F-Prot 4.3.2.48 2007.09.29 -
F-Secure 6.70.13030.0 2007.09.29 -
Ikarus T3.1.1.12 2007.09.29 -
Kaspersky 7.0.0.125 2007.09.29 -
McAfee 5130 2007.09.28 -
Microsoft 1.2803 2007.09.29 -
NOD32v2 2559 2007.09.29 -
Norman 5.80.02 2007.09.28 -
Panda 9.0.0.4 2007.09.29 -
Prevx1 V2 2007.09.29 -
Rising 19.42.50.00 2007.09.29 -
Sophos 4.21.0 2007.09.29 -
Sunbelt 2.2.907.0 2007.09.28 -
Symantec 10 2007.09.29 -
TheHacker 6.2.6.073 2007.09.28 -
VBA32 3.12.2.4 2007.09.29 -
VirusBuster 4.3.26:9 2007.09.28 -
Webwasher-Gateway 6.0.1 2007.09.28 -
weitere Informationen
File size: 45056 bytes
MD5: 1b2e159c18251fd6181e800b501388da
SHA1: f0b8620f800d73725445a496472725ddb8c6b314

Tool was Maus- und Tastatur-Eingaben blockiert

wie erhalten? gesucht

[Rios]

Welch ein Schlawiner das wieder ist. Heike wärst du so lieb, und würdest das Teil mal an die Avs weiterreichen. Bekommst bestimmt ein nettes Dankeschön.

[Rios]

Der hier ist auch ein echter Verwandlungskünstler

[Heike]

Datei TakeABreak.exe empfangen 2007.09.29 15:03:47 (CET)

Ergebnis: 1/32 (3.13%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.29.0 2007.09.28 -
AntiVir 7.6.0.18 2007.09.28 -
Authentium 4.93.8 2007.09.29 -
Avast 4.7.1043.0 2007.09.29 -
AVG 7.5.0.488 2007.09.28 -
BitDefender 7.2 2007.09.29 -
CAT-QuickHeal 9.00 2007.09.29 -
ClamAV 0.91.2 2007.09.29 -
DrWeb 4.33 2007.09.29 -
eSafe 7.0.15.0 2007.09.29 suspicious Trojan/Worm
eTrust-Vet 31.2.5169 2007.09.27 -
Ewido 4.0 2007.09.29 -
FileAdvisor 1 2007.09.29 -
Fortinet 3.11.0.0 2007.09.29 -
F-Prot 4.3.2.48 2007.09.29 -
F-Secure 6.70.13030.0 2007.09.29 -
Ikarus T3.1.1.12 2007.09.29 -
Kaspersky 7.0.0.125 2007.09.29 -
McAfee 5130 2007.09.28 -
Microsoft 1.2803 2007.09.29 -
NOD32v2 2559 2007.09.29 -
Norman 5.80.02 2007.09.28 -
Panda 9.0.0.4 2007.09.29 -
Prevx1 V2 2007.09.29 -
Rising 19.42.50.00 2007.09.29 -
Sophos 4.21.0 2007.09.29 -
Sunbelt 2.2.907.0 2007.09.28 -
Symantec 10 2007.09.29 -
TheHacker 6.2.6.073 2007.09.28 -
VBA32 3.12.2.4 2007.09.27 -
VirusBuster 4.3.26:9 2007.09.28 -
Webwasher-Gateway 6.0.1 2007.09.28 -
weitere Informationen
File size: 206522 bytes
MD5: a210906b16c4dd3fc173dc81e69f413c
SHA1: b499e4abb478302f88d9c546589f401197887c4f
packers: UPX
packers: UPX
packers: UPX
packers: UPX

schaltet Taskmanager, Maus- und Tastatur-Eingaben aus

auch gesucht

@Rios, das sind ganz normale Programme, nicht welche von irgendwelchen "bösen" Seiten. Eben solche, die man so oder anders verwenden kann, ganz genau wie regedit.exe, nur mal als Beispiel.

Eine Aufnahme in Sigs wäre deshalb unangemessen, aus meiner Sicht.

[Gast_Scrapie_*]

Morgen


Neuer Online-Keylogger:



P2P-Wurm ähnlich dem am 27.09 beschriebenen, jetzt aber in C++ und mit Source:



Scrapie

[Rios]

Hier wieder ein Fraud Tool Vertreter

[Solution-Design]

ebay (besser gesagt, das wofür sich der Mail-Absender ausgibt) bedankt sich auch mal wieder und schon landet man bei einem eher nicht ganz aktuellen Trojaner.

QUELLTEXT

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>

<META content="MSHTML 6.00.2900.2180" name=GENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=#ffffff>
Unsere herzlichsten Glückwünsche.<BR>
Sie sind der Käufer #10.000 in unserem Geschäft, deshalb schenken wir Ihnen ein Geschenk.<BR>
Welcher? Bitte, folgen Sie dem Link <a href="http://www.komodok.com/index.php">http://fun.ebay.de/users_online/</a> und erfahren Sie das.<BR>
Wir danken Ihnen für die Benutzung der Dienstleistungen unseres Geschäftes.<br>
Kaufen Sie bitte noch.
</BODY></HTML>

http://securityresponse.symantec.com/secur...-101518-4323-99

Der Beitrag wurde von Solution-Design bearbeitet: 30.09.2007, 13:37

[Voyager]

Risk category: Virus
Overall Risk Impact: High
Performance: High
Privacy: High
Removal: High
Stealth: High
Click for more information about this risk : Downloader
Action taken: Fully removed
Affected Areas:
Files & Directories
c:\users\jens\appdata\local\mozilla\firefox\profiles\8gx5zj4r.default\cache\_cache_001_
Network & Browser Items
Browser Cache

Ein Seite (komodok.com/index.php) wird da nicht dargestellt , kommt glei eine Virusmeldung.

[DonQuijano]

Datei index.php empfangen 2007.09.30 18:40:22 (CET)
Status: Beendet

Ergebnis: 12/32 (37.5%)

Anfragen einer Rückmeldung per emailAntivirus
Version
letzte aktualisierung
Ergebnis
AhnLab-V3 2007.9.29.0 2007.09.28 -
AntiVir 7.6.0.18 2007.09.28 HEUR/Exploit.HTML
Authentium 4.93.8 2007.09.29 -
Avast 4.7.1043.0 2007.09.30 -
AVG 7.5.0.488 2007.09.30 -
BitDefender 7.2 2007.09.30 Exploit.AdodbStream.J
CAT-QuickHeal 9.00 2007.09.29 -
ClamAV 0.91.2 2007.09.30 -
DrWeb 4.33 2007.09.30 VBS.PackFor
eSafe 7.0.15.0 2007.09.30 -
eTrust-Vet 31.2.5174 2007.09.30 -
Ewido 4.0 2007.09.30 -
FileAdvisor 1 2007.09.30 -
Fortinet 3.11.0.0 2007.09.30 -
F-Prot 4.3.2.48 2007.09.29 -
F-Secure 6.70.13030.0 2007.09.29 JS/Laume.gen2
Ikarus T3.1.1.12 2007.09.30 Trojan-Downloader.HTML.Agent.AE
Kaspersky 7.0.0.125 2007.09.30 -
McAfee 5130 2007.09.28 JS/Downloader-AUD
Microsoft 1.2803 2007.09.30 TrojanDownloader:JS/Psyme.gen
NOD32v2 2560 2007.09.30 -
Norman 5.80.02 2007.09.28 JS/Laume.gen2
Panda 9.0.0.4 2007.09.30 -
Prevx1 V2 2007.09.30 -
Rising 19.42.61.00 2007.09.30 -
Sophos 4.22.0 2007.09.30 Mal/ObfJS-A
Sunbelt 2.2.907.0 2007.09.28 -
Symantec 10 2007.09.30 Downloader
TheHacker 6.2.6.074 2007.09.30 Trojan/Downloader.vbs
VBA32 3.12.2.4 2007.09.30 -
VirusBuster 4.3.26:9 2007.09.30 -
Webwasher-Gateway 6.0.1 2007.09.28 Heuristic.Exploit.HTML
weitere Informationen
File size: 493 bytes
MD5: d8d83d3edc59818b01086fb840a71aca
SHA1: c3d0631f4e6ba6de81369ed494b7802a23981625
packers: Crypt.DCScript

[Caimbeul]

Ich bin über einige Threads bei Computerbase auf die Malware "Ultimate Defender" gestoßen. Google spuckt beim suchen u.a. folgende Seite aus:


Es wird ein Entfernungsprogramm bzw. eine Anti-Malware Software angeboten (Free-SpyHunter-Scanner-Install.exe)

Die Datei wird bei Virustotal wie folgt bewertet:


Malware getarnt als ein Malware Entferungsprogramm?

[Heike]

Malware getarnt als ein Malware Entferungsprogramm?

die Idee hat doch was. der Check nach Updates wird vollkommen unauffällig genutzt, um das Log des Keyloggers zu uppen.



das ist eine *.exe aus einer *.bat. mit "Trojan/Worm" hat es aber auch gar nichts zu tun, tauscht ja einfach nur Files aus. Komischerweise ist die *.bat zu 100% clean, obwohl die Wirkung zu 100% gleich ist.

wahrscheinlich ist ne *.exe eben viel gefährlicher.

ja, ich will einfach mal auf meinem PC Dateien tauschen, Weiber sind eben komisch, besonders ich, aber das wißt Ihr doch schon lange.

[Catweazle]

Hatten wir das schon, PPLive ?

Datei: pplivesetup_1.8.7.exe
Auslastung: 0% 100%

Status: EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.) (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: ASPACK
Bit9 rapportiert: Not analyzed yet (more info)

A-Squared Keine Viren gefunden
AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
CPsecure Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
Panda Antivirus Keine Viren gefunden
Rising Antivirus Keine Viren gefunden
Sophos Antivirus Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden

Datei pplivesetup_1.8.7.exe empfangen 2007.10.01 19:05:03 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 1/32 (3.13%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit is zwischen 48 und 68 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.2.0 2007.10.01 -
AntiVir 7.6.0.18 2007.10.01 -
Authentium 4.93.8 2007.10.01 -
Avast 4.7.1043.0 2007.09.30 -
AVG 7.5.0.488 2007.10.01 -
BitDefender 7.2 2007.10.01 -
CAT-QuickHeal 9.00 2007.09.29 -
ClamAV 0.91.2 2007.10.01 -
DrWeb 4.33 2007.10.01 -
eSafe 7.0.15.0 2007.10.01 -
eTrust-Vet 31.2.5176 2007.10.01 -
Ewido 4.0 2007.10.01 -
FileAdvisor 1 2007.10.01 -
Fortinet 3.11.0.0 2007.10.01 -
F-Prot 4.3.2.48 2007.10.01 -
F-Secure 6.70.13030.0 2007.10.01 -
Ikarus T3.1.1.12 2007.10.01 -
Kaspersky 7.0.0.125 2007.10.01 -
McAfee 5131 2007.10.01 -
Microsoft 1.2803 2007.10.01 -
NOD32v2 2563 2007.10.01 -
Norman 5.80.02 2007.10.01 -
Panda 9.0.0.4 2007.10.01 -
Prevx1 V2 2007.10.01 Heuristic: Suspicious File Which Interferes With Vulnerable Files Like The HostsFile
Rising 19.43.00.00 2007.10.01 -
Sophos 4.22.0 2007.10.01 -
Sunbelt 2.2.907.0 2007.10.01 -
Symantec 10 2007.10.01 -
TheHacker 6.2.6.075 2007.10.01 -
VBA32 3.12.2.4 2007.10.01 -
VirusBuster 4.3.26:9 2007.10.01 -
Webwasher-Gateway 6.0.1 2007.10.01 -
weitere Informationen
File size: 2432952 bytes
MD5: 036aa32c5e0bcb5bcc5605058d6ccd73
SHA1: 158d606040d56f1ab0787c2c1baa9bd26d00406c
packers: BINARYRES, ASPACK, BINARYRES
packers: ASPack
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5...ACADD00CAF3A27C


Ist da nu Malware drinnen, oder nicht ???

Catweazle

[DonQuijano]

Willst du WM am Pc sehen?
Woher kommt dein Misstrauen gegenüber der Datei? Wenn man wie in anderen Foren berichtet alle möglichen Codecs installieren soll, wäre ich da allerdings skeptisch. Scan ist bei mir bei jotti und virustotal negativ, bis auf das Sandboxergebnis.

Ich nutze pplive nicht.

Der Beitrag wurde von DonQuijano bearbeitet: 01.10.2007, 18:56

[Gast_rock_*]

This file is yet to be determined globally as Good or Bad, therefore it is currently classified as Unknown.

also sie sind sich selbst noch unschlüssig, deshalb wirds momentan als unbekannt gemeldet.

[Catweazle]

@ DonQuijano, rock

Nein, ich habe das Teil nicht Installiert, und nutze es auch nicht. Ich bin ein bischen Skäptisch weil das Teil aus China daherkommt, und da sagen Catweazle und Küwalda VORSICHT, das sind sehr neugierige Menschen......Ja ich habe es bei Jotti, und Virustotal, und bei den anderen der auch in China steht upgeloadet, dort das Ergbnis negativ. Also was sagen andere Experten noch dazu....????

Catweazle