Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Rios]

Zwei neue Banditos

scheint SpyAxe zu sein.



zum Testen bin ich noch noch nicht gekommen.

[Kenshiro]

So sieht es Heute Morgen aus:

 AntiSpyCheck_VT_Ergebnis.JPG ( 115.57KB ) Anzahl der Downloads: 32

[Voyager]

Wird hier erkannt, die Downloaddatei von antispycheck.*** heisst nur etwas anders.

Risikokategorie: Irreführende Anwendung
Gesamtrisikoauswirkung: Mittel
Leistung: Mittel
Datenschutz: Mittel
Entfernen: Mittel
Verbergen: Mittel
Klicken Sie hier, um weitere Informationen über dieses Risiko zu erhalten: VirusBlast
Durchgeführte Aktion: Blockiert
Betroffene Bereiche: c:\downloads\asc_2.4_setup.exe.jc!

Erkennung Malwarecrush

Risikokategorie: Irreführende Anwendung
Gesamtrisikoauswirkung: Mittel
Leistung: Mittel
Datenschutz: Mittel
Entfernen: Mittel
Verbergen: Mittel
Klicken Sie hier, um weitere Informationen über dieses Risiko zu erhalten: MalwareCrush
Durchgeführte Aktion: Blockiert
Betroffene Bereiche: c:\downloads\mc-installer.exe.jc!

Der Beitrag wurde von bond7 bearbeitet: 11.01.2008, 11:01

[Kenshiro]

Hier der 2. Kumpane:

 MalwareCrusher_VT_Ergebnis.JPG ( 117.96KB ) Anzahl der Downloads: 30

[Gast_Poulsen_*]

Hier mal was für die NOD- und Bitti-Fans
Diesen Übeltäter fand Avira gestern bei mir.
Mir wurde geschrieben das Ding gibt es bereits seit Sommer 2006 Wenn dem so ist, dann ist das ein Armutszeugnis erster Klasse


Der Beitrag wurde von Poulsen bearbeitet: 11.01.2008, 12:58

[Lonlyness]

Hier mal was für die NOD- und Bitti-Fans
Diesen Übeltäter fand Avira gestern bei mir.
Mir wurde geschrieben das Ding gibt es bereits seit Sommer 2006 Wenn dem so ist, dann ist das ein Armutszeugnis erster Klasse

Und weil Du so ein netter, freundlicher und hilfsbereiter Mensch bist, hast Du natürlich auch sofort ein Sample an BitDefender, ClamAV, F-Prot, Panda, VirusBuster und ESET geschickt. Oh nein, stimmt ja, Du hast das Sample entsorgt.

Im Namen von ESET bedanke ich mich recht herzlich für die Nichtbereitstellung des Samples. Das hilft natürlich ungemein, solche Dateien in Zukunft auch zu entdecken.

Um Dich mal zu Zitieren: "Ein Schelm, wer Böses dabei denkt ..."

Der Beitrag wurde von Lonlyness bearbeitet: 11.01.2008, 17:06

[Gast_Poulsen_*]

Und weil Du so ein netter, freundlicher und hilfsbereiter Mensch bist, hast Du natürlich auch sofort ein Sample an BitDefender, ClamAV, F-Prot, Panda, VirusBuster und ESET geschickt. Oh nein, stimmt ja, Du hast das Sample entsorgt.

Im Namen von ESET bedanke ich mich recht herzlich für die Nichtbereitstellung des Samples. Das hilft natürlich ungemein, solche Dateien in Zukunft auch zu entdecken.

Um Dich mal zu Zitieren: "Ein Schelm, wer Böses dabei denkt ..."

Wenn es das Teil wirklich seit 2006 gibt...............meinst Du nicht im hohen Hause Eset hatte man Zeit genug dafür? Aber das scheint bei Euch ja nichts ausßergewöhnliches zu sein. Also such die Fehler nicht bei anderen sondern in euerm eignen Laden.

Der Beitrag wurde von Poulsen bearbeitet: 12.01.2008, 07:48

[Gast_J4U_*]

Mir wurde geschrieben das Ding gibt es bereits seit Sommer 2006

Fast.
Auch wenn Avira diesen Schädling seit dieser Zeit in der Erkennung hat kann es durchaus sein, dass der so modifiziert wurde, dass andere Scanner den nicht mehr erkennen.
Für Deinen speziellen Freund (die Datei) finden sich nur wenige Beschreibungen im Web - und die sind alle in Russisch.

[Rios]

Winfixer der nächste, das Teil streut enorm

[Lonlyness]

Wenn es das Teil wirklich seit 2006 gibt...............meinst Du nicht im hohen Hause Eset hatte man Zeit genug dafür? Aber das scheint bei Euch ja nichts ausßergewöhnliches zu sein. Also such die Fehler nicht bei anderen sondern in euerm eignen Laden.

Und? Dann gibt es das Teil eben seit 2006. Das ändert aber nichts daran, dass Du diese Datei nicht als Sample eingereicht hast, sondern dass nur als Munition für Deine Schlammschlachten verwendest. Das und nichts anderes habe ich kritisiert. Das was Du machst ist in meinen Augen der Versuch, eine Hetzkampagne gegen alle Antivirensoftwarehersteller zu fahren, die etwas auf DEINEM PC nicht erkannt haben und die Dich höchstwahrscheinlich persönlich angegriffen haben, weil es früher von Dir eingesetzte Produkte sind (NOD32, BitDefender).

Ich habe ausreichend oft angeboten, mich um mögliche Malware persönlich zu kümmern und dieses Angebot wird von vielen Usern hier gerne angenommen. Ich bekomme bei weitem nicht jedes Stück Malware, über das hier diskutiert wird. Aber einige Dateien konnte ich Dank der User schon an ESET senden. Ich sage übrigens auch nicht, dass es in Ordnung ist, diese Datei nicht zu erkennen. Jede Datei, die nicht erkannt wird, ist schlecht. Aber in meinen Augen ist es genausowenig in Ordnung, mögliche Malware auf Testseiten zu Scannen, diese anschließend zu löschen und dann den großen Macker raushängen lassen und auf andere mit dem Finger zu zeigen.

Wenn alle Leute so denken wie Du, dann gibt es bald keinen Sample-Submit mehr für alle Antivirenhersteller, dann füttert jeder nur noch seinen persönlichen Favoriten. Und dann ändern sich auch die Erkennungsraten gewaltig und zwar nach unten. Sorry, aber für so ein heuchlerisches Verhalten habe ich kein Verständnis.

Der Beitrag wurde von Lonlyness bearbeitet: 12.01.2008, 12:43

[Rios]

Neuer Codec im Umlauf ! Trojan DNS Changer.!!!

hxxp://codeczang.net/
Wer da hin will, sollte wissen was er tut!!!

[Gast_Poulsen_*]

Was ist denn das für ein Ding?

[Stefan]

Der Dateiname lässt auf etwas aus der Systemwiederherstellung schließen.
Du weißt ja, Systemwiederherstellung de- und nach Neustart wieder aktivieren und die Datei ist weg.
Ob sie schädlich ist, glaube ich eher nicht. Aber genaues kann da wohl nur eine Analyse bei z.B. Avira ergeben.

... aber man sollte die "APPL" Erkennung sowieso deaktivieren. Das meldet zu viel harmloses.

Hast du eigentlich den Rat von @raman befolgt, Poulsen?

[Gast_rock_*]

hey poulsen, wo hast denn das "eingetreten" ...stefan vermutet mit antivir schon richtig... diesen antivir alarm gabs hier schon mal im forum:

unter anderem:
Antivir sagt mir gleich beim start von Combofix
C:\ComboFix\nircmd.exe
Enthält Signatur der Anwendung APPL/NirCmd.1

quelle:
http://www.rokop-security.de/lofiversion/i...php/t15531.html



Der Beitrag wurde von rock bearbeitet: 13.01.2008, 17:20

[Solution-Design]

Neuer Codec im Umlauf ! Trojan DNS Changer.!!!
hxxp://codeczang.net/
Wer da hin will, sollte wissen was er tut!!!

Verseucht ist der Uninstaller. Nach Uninstall bleibt noch etwas im Tempordner Namens Au_.exe HijackThis findetkeine Auffälligkeiten Ist einfach nur wieder einer dieser dussligen ZLobs

[Gast_Joerg_*]

@Poulsen: Ignorieren, es handelt sich um keine Infektion, sondern um sog. "Riskware", also ein Programm, mit dem man theoretisch Schaden anrichten könnte (so ungefähr steht das auch bei Antivir in der Beschreibung zu den "APPL"-Meldungen). Das ganze gibts hier zum downloaden (Link nicht klickbar gemacht): hxxp://www.nirsoft.net/utils/nircmd.html

[citro]

Neuer Codec im Umlauf ! Trojan DNS Changer.!!!

hxxp://codeczang.net/
Wer da hin will, sollte wissen was er tut!!!

Die ändern im sich auf diversen Seiten alle paar Tage. Die Größe variiert um wenige Bytes.
GData erkennt sie wie KAV meist immer mit dem selben Namen.
Antivir heuristisch (wenn nicht schon eingesendet), sowie bei VT : AVG,Clam, McAfee, Microsoft, Sophos und Symantec ebenfalls



Der Beitrag wurde von citro bearbeitet: 13.01.2008, 19:02

[citro]

Habe gerade schnell einen neuen Zlob entdeckt, wie oben beschrieben in der Dateigröße ähnlich:

[Gast_Poulsen_*]

Aber genaues kann da wohl nur eine Analyse bei z.B. Avira ergeben.

Hast du eigentlich den Rat von @raman befolgt, Poulsen?

Habe ich bereits eingeschickt.
Habe ich gerade deaktiviert. Das hatte ich im Eifer des Gefechts doch glatt vergessen.

Antivir sagt mir gleich beim start von Combofix
C:\ComboFix\nircmd.exe
Enthält Signatur der Anwendung APPL/NirCmd.1

Stimmt ComboFix habe ich gestern ausgeführt

@Poulsen: Ignorieren, es handelt sich um keine Infektion, sondern um sog. "Riskware", also ein Programm, mit dem man theoretisch Schaden anrichten könnte (so ungefähr steht das auch bei Antivir in der Beschreibung zu den "APPL"-Meldungen). Das ganze gibts hier zum downloaden (Link nicht klickbar gemacht): hxxp://www.nirsoft.net/utils/nircmd.html

Na dann bin ich aber beruhigt.

Ich Danke Euch

Der Beitrag wurde von Poulsen bearbeitet: 13.01.2008, 20:06

[Solution-Design]

Die ändern im sich auf diversen Seiten alle paar Tage. Die Größe variiert um wenige Bytes.
GData erkennt sie wie KAV meist immer mit dem selben Namen.
Antivir heuristisch (wenn nicht schon eingesendet), sowie bei VT : AVG,Clam, McAfee, Microsoft, Sophos und Symantec ebenfalls

Hier eben sah die Erkennung noch anders aus www.virscan.org

Datei InformationenDateiname : Uninstall.exe
Größe : 52782 byte
Typ : MS-DOS executable (EXE), OS/2 or MS Windows
A-Squared Trojan-Downloader.Win32.Zlob.eie
AntiVir TR/Dldr.Zlob.NMO
nProtect Trojan-Downloader/W32.Zlob
Prevx V2 TROJAN.DOWNLOADER.GEN

________________________________________________________

Datei InformationenDateiname : Au_.exe
Größe : 52782 byte
Typ : MS-DOS executable (EXE), OS/2 or MS Windows
MD5 : ae08d2ad27cde3f167e5679fc2e2ac1b
SHA1 : f1ccef579147581ee9f0736b88c1527a77d7c356

A-Squared Trojan-Downloader.Win32.Zlob.eie
AntiVir TR/Dldr.Zlob.NM
nProtect Trojan-Downloader/W32.Zlob
Prevx V2 TROJAN.DOWNLOADER.GEN

_________________________________________________________

Ich denke, um ZLobs braucht man sich kaum noch zu kümmern, da die Malwareschreiberlinge sowieso immer schneller sind, als die AV-Programmer.