Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Krond]

Naja in diesem Fall findet aber NOD auch nichts, außer "error - password protected", dass das File ein Passwort hat und deshalb IMHO nicht gescannt wird.

[Solution-Design]

Stimmt, hab nicht aufgepasst. War sicher zu aufgeregt. ....brrr... huch ein VIRUS

[Gast_rock_*]

So langsam könnte Symantec mal Gas geben. Habe nicht so richtig Lust, deren Job zu machen

Ist eigentlich einem schon mal aufgefallen, was das NOD32 mit seiner angeblichen Trojanerschwäche so alles erkennt? Oder auch Antivir?

jo nod aber nicht gerade so wenn du die letzten 5 oder 7 ergebnisse zurückgehst....

aber symantec kennt den folgenden backdoor auch: nennt es aber "nur" backdoor trojan"....

AntiVir 7.3.0.19 12.19.2006 BDS/Agent.abv.7
Authentium 4.93.8 12.15.2006 W32/Backdoor.OLD
Avast 4.7.892.0 12.19.2006 Win32:Agent-BZQ
AVG 386 12.19.2006 Adware Generic.ORD
BitDefender 7.2 12.19.2006 Dropped:Adware.Stud.C
CAT-QuickHeal 8.00 12.19.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 12.19.2006 no virus found
DrWeb 4.33 12.19.2006 no virus found
eSafe 7.0.14.0 12.19.2006 no virus found
eTrust-InoculateIT 23.73.89 12.19.2006 no virus found
eTrust-Vet 30.3.3262 12.19.2006 no virus found
Ewido 4.0 12.19.2006 Adware.Stud
Fortinet 2.82.0.0 12.19.2006 no virus found
F-Prot 3.16f 12.15.2006 security risk named W32/Backdoor.OLD
F-Prot4 4.2.1.29 12.19.2006 W32/Backdoor.OLD
Ikarus T3.1.0.27 12.19.2006 Backdoor.Win32.Agent.abv
Kaspersky 4.0.2.24 12.19.2006 Backdoor.Win32.Agent.abv
McAfee 4922 12.19.2006 no virus found
Microsoft 1.1904 12.19.2006 no virus found
NOD32v2 1928 12.19.2006 no virus found
Norman 5.80.02 12.19.2006 W32/Agent.AOSS
Panda 9.0.0.4 12.19.2006 Adware/SearchBar
Prevx1 V2 12.19.2006 no virus found
Sophos 4.12.0 12.18.2006 no virus found
Sunbelt 2.2.907.0 12.18.2006 no virus found
TheHacker 6.0.3.134 12.18.2006 Backdoor/Agent.abv
UNA 1.83 12.19.2006 Backdoor.Agent.7317
VBA32 3.11.1 12.19.2006 Backdoor.Win32.Agent.abv
VirusBuster 4.3.19:9 12.19.2006 Backdoor.Agent.DUR

nur müsste man sich da gewisse beschreibungen rausholen...den mehrmals backdoor...oder adware...oder searchbar....oder auch viele mit garnix



Der Beitrag wurde von rock bearbeitet: 19.12.2006, 21:41

[Solution-Design]

eScan meldet wie NOD32 übrigens auch nur:

Tel.zip infected by "Password-protected-EXE" Virus! Action Taken: File Renamed.

Aber es wird wenigstens, im Gegensatz zu NAV etwas getan. Na, warten wir auf Morgen

[Gast_rock_*]

wie passwort-geschützt?

wie sehen die ergebnisse ohne passwort aus?

[Gast_rock_*]

hmm...wer (von befugten) möchte diese datei analysieren??

habs auch schon gepostet und abgeschickt an andere n.f. hersteller....

die datei lässt sich weder umbennen, noch löschen...(auf dem normalen weg)...
man erhält stets die meldung das die datei von einem anderen prozess verwendet wird, oder der prozess von wem anderen benutzt wird... aber es wird an und für sich garnix...den sie liegt nur da...allene in einem speziellen ordner....auch nach einem neustart ist die datei kaum anzufassen....

auch bei norman sandbox per e-mail gibts troubles... es kommt lediglich die info das es nicht für Win32 bit systeme ist....oder irgendwas mit diesem hinweis....

die ergebnisse mit signaturen bis 17.12.06


AntiVir 7.3.0.19 12.15.2006 BDS/Latinus.15
Avast 4.7.892.0 12.16.2006 Win32:YAT-B
ClamAV devel-20060426 12.17.2006 Trojan.Latinus
=================================
Authentium 4.93.8 12.15.2006 no virus found
AVG 386 12.16.2006 no virus found
BitDefender 7.2 12.17.2006 no virus found
CAT-QuickHeal 8.00 12.15.2006 no virus found
DrWeb 4.33 12.17.2006 no virus found
eSafe 7.0.14.0 12.14.2006 no virus found
eTrust-InoculateIT 23.73.87 12.16.2006 no virus found
eTrust-Vet 30.3.3254 12.15.2006 no virus found
Ewido 4.0 12.16.2006 no virus found
Fortinet 2.82.0.0 12.17.2006 no virus found
F-Prot 3.16f 12.15.2006 no virus found
F-Prot4 4.2.1.29 12.15.2006 no virus found
Ikarus T3.1.0.26 12.17.2006 no virus found
Kaspersky 4.0.2.24 12.17.2006 no virus found
McAfee 4920 12.15.2006 no virus found
Microsoft 1.1804 12.15.2006 no virus found
NOD32v2 1924 12.15.2006 no virus found
Norman 5.80.02 12.15.2006 no virus found
Panda 9.0.0.4 12.16.2006 no virus found
Prevx1 V2 12.17.2006 no virus found
Sophos 4.12.0 12.17.2006 no virus found
Sunbelt 2.2.907.0 11.30.2006 no virus found
TheHacker 6.0.3.133 12.16.2006 no virus

das selbe mit dem W3/Mapson...wird auch nur von den drei scannern in roter farbe oben, erkannt.
sind zwar schon eher sehr alte dinger!

edit: was "neues":
AntiVir 7.3.0.19 12.20.2006 no virus found
Authentium 4.93.8 12.20.2006 could be a corrupted executable file
Avast 4.7.892.0 12.20.2006 Win32:Trojan-gen. {VB}
AVG 386 12.19.2006 no virus found
BitDefender 7.2 12.20.2006 no virus found
CAT-QuickHeal 8.00 12.20.2006 no virus found
ClamAV devel-20060426 12.20.2006 no virus found
DrWeb 4.33 12.20.2006 no virus found
eSafe 7.0.14.0 12.19.2006 no virus found
eTrust-InoculateIT 23.73.91 12.20.2006 Win32/Rbot.EWK!Dropper
eTrust-Vet 30.3.3264 12.20.2006 Win32/Alcan.K
Ewido 4.0 12.20.2006 Dropper.VB.me
Fortinet 2.82.0.0 12.20.2006 no virus found
F-Prot 3.16f 12.20.2006 no virus found
F-Prot4 4.2.1.29 12.20.2006 no virus found
Ikarus T3.1.0.27 12.20.2006 no virus found
Kaspersky 4.0.2.24 12.20.2006 Trojan-Dropper.Win32.VB.me
McAfee 4922 12.19.2006 no virus found
Microsoft 1.1904 12.20.2006 no virus found
NOD32v2 1931 12.20.2006 no virus found
Norman 5.80.02 12.20.2006 W32/VBTroj.AFA
Panda 9.0.0.4 12.19.2006 Bck/IRCBot.VA
Prevx1 V2 12.20.2006 no virus found
Sophos 4.12.0 12.18.2006 no virus found
Sunbelt 2.2.907.0 12.18.2006 no virus found
TheHacker 6.0.3.135 12.20.2006 no virus found
UNA 1.83 12.19.2006 TrojanDropper.Win32.VB.5E82
VBA32 3.11.1 12.20.2006 no virus found
VirusBuster 4.3.19:9 12.20.2006 Trojan.DR.VB.YPK


AntiVir 7.3.0.19 12.20.2006 TR/DNet.Drop.1
Authentium 4.93.8 12.20.2006 is a virus dropper
Avast 4.7.892.0 12.20.2006 Win32:Trojan-gen. {VC}
AVG 386 12.19.2006 Dropper.Generic.FA
BitDefender 7.2 12.20.2006 Trojan.Dropper.Dnet.B
CAT-QuickHeal 8.00 12.20.2006 TrojanDropper.DNet.b
ClamAV devel-20060426 12.20.2006 no virus found
DrWeb 4.33 12.20.2006 Trojan.MulDrop.699
eSafe 7.0.14.0 12.19.2006 Win32.Dnet.b
eTrust-InoculateIT 23.73.91 12.20.2006 no virus found
eTrust-Vet 30.3.3264 12.20.2006 no virus found
Ewido 4.0 12.20.2006 no virus found
Fortinet 2.82.0.0 12.20.2006 W32/DNET.E!tr
F-Prot 3.16f 12.20.2006 virus dropper
F-Prot4 4.2.1.29 12.20.2006 W32/Distnet.B
Ikarus T3.1.0.27 12.20.2006 Trojan-Dropper.Win32.DNet.B
Kaspersky 4.0.2.24 12.20.2006 no virus found
McAfee 4922 12.19.2006 MultiDropper-JF
Microsoft 1.1904 12.20.2006 Trojan:Win32/DNet
NOD32v2 1931 12.20.2006 Win32/TrojanDropper.Dnet.B
Norman 5.80.02 12.20.2006 Dnet.F
Panda 9.0.0.4 12.19.2006 Application/Dnet.A
Prevx1 V2 12.20.2006 TrojanDropper.Win32.DNet.b
Sophos 4.12.0 12.18.2006 Troj/Dnet-B
Sunbelt 2.2.907.0 12.18.2006 Trojan-Dropper.Win32.DNet.b
TheHacker 6.0.3.135 12.20.2006 Trojan/Dropper.DNet.b
UNA 1.83 12.19.2006 TrojanDropper.Win32.DNet.8AE0
VBA32 3.11.1 12.20.2006 TrojanDropper.Win32.DNet.b
VirusBuster 4.3.19:9 12.20.2006 TrojanDropper.DNet.B




Der Beitrag wurde von rock bearbeitet: 20.12.2006, 17:37

[Solution-Design]

wie passwort-geschützt?

wie sehen die ergebnisse ohne passwort aus?

Öhm... vielleicht so:

Tel.zip infected by "Password-unprotected-EXE" Virus! Action Taken: Nevertheless File Renamed.

[Gast_rock_*]

öhmm.. nö! das versteh ich nicht... un- oder geschützt....
ich mein... bei den ergebnissen aus den 2 screenshots/links sagen ja manche es ist passwortgeschützt...ander erkennen darin eine malware per namen.

hast du ein passwort genommen auf das virenuploadscanner anspringen.... das wäre im normalfall "infected"....

[Solution-Design]

hast du ein passwort genommen auf das virenuploadscanner anspringen.... das wäre im normalfall "infected"....

Nein. Das File war schon Standard-Zip. Aber die darin enthaltene EXE ist passwortgeschützt, aber auch gleichzeitig Malware. Warum das aber nicht namentlich genannt wird...

[Solution-Design]

delete

Der Beitrag wurde von Solution-Design bearbeitet: 21.12.2006, 07:14

[Solution-Design]

gelöscht

Der Beitrag wurde von Solution-Design bearbeitet: 21.12.2006, 07:14

[Solution-Design]

@Rock

Da du mich skeptisch gemacht hast habe ich mir diese Mail mal komplett zuschicken lassen.

QUELLTEXT

Betreff: Ihre T-Com Rechnung November



Ihre detaillierte Telekom Rechnung von 1.12.2006 - 15.12.2006

Rechnungsnummer
Kundennummer
Datum
758 513 639 0069
955 987 8083
15. Dezebber 2006

Bei Rückfragen bitte Kundennummer angeben


Seht geehrter Telekom Kunde,

die Gesamtsumme für Ihre Rechnung im Monat November beträgt: 540.32 Euro.
Anbei erhalten Sie den detaillierten Einzelverbindungsnachweis im beigefügter ZIP Datei.

WICHTIG Aus Sicherheitsgründen senden wir ab nun ihre Rechnung verschlüsselt
Ihr persönlichen Passwort lautet: T6MMK

Die Unterlassung rechtzeitiger Einwände gilt als Genehmigung. Weitere Informationen zum Widerspruch finden ebenfalls im beigefügten Dokument.

Sind Sie Unternehmer und benötigen unsere Rechnung zur Geltendmachung von Vorsteuerabzug? Bitte beachten Sie dann, dass Sie seit 29.12.2004 die Möglichkeit haben, Ihre Rechnung per E-Mail mit einer qualifizierten elektronischen Signatur zu erhalten. Sie konnen diese im Bereich "persönliche Einstellungen" aktivieren.
Sollten Sie dem Finanzamt bisher eine von Ihnen zusätzlich beauftragte Rechnung in Papierform zum Vorsteuerabzug vorgelegt haben, bitten wir auserdem zu beachten, dass wir Ihnen diese nur noch in Form eines "Rechungsdoppels" bieten können, da nur so vermieden werden kann, dass T-Com mehrere Rechnungsoriginale ausstellt.

Antworten auf Ihre weiteren Fragen zur digitalen Signatur finden Sie auch in unseren FAQs unter dem Stichwort "Digitale Signatur".
======================================
RECHNUNG ONLINE - TIPP DES MONATS
Die neuen WunschDirWas Tarife sind jetzt da! Jetzt online anmelden unter www.t-com.de/reo/WuenschDirWas und bis zu 10,- Euro sparen.
Die aktuellen Top-Angebote der Deutschen Telekom finden Sie unter:
www.t-com.de/aktuell
======================================

Mit freundlichen Grussen
Ihre T-Com
i.A. Sandy Steinecke
---------------------------------------------------




Aufsichtsrat:
Handelsregister:
Deutsche Telekom AG Niederlassung Mitte, Von-Kuhl-Str. 49, 56070 Koblenz
Postfach 506595, 64300 Darmstadt
+49 (0 61 81) 89-0, Telefax: +49 (0 61 81) 89-12 98 Internet: www.t-com.de
Dr.Klaus Zumwinkel (Vorsitzender)
Amtsgericht Koblenz HRB 12903, Sitz der Gesellschaft Bonn, USt.-IdNr. DE2158743015

Und siehe da... ein Passwort

Danach erkennen folgende Scanner die Malware nicht

DrWeb 4.33 12.20.2006 no virus found
eSafe 7.0.14.0 12.19.2006 no virus found
Prevx1 V2 12.20.2006 no virus found
Sunbelt 2.2.907.0 12.18.2006 no virus found

Dateiarchiv: Tel.zip
Datei: Telekom-Rechnung.pdf.exe

Also nur ein bissel Trauer für DrWeb

Der Beitrag wurde von Solution-Design bearbeitet: 20.12.2006, 19:35

[Gast_rock_*]

dreimal hält besser!

danke für die analüüse! also hmm....das heisst das gewisse scanner bei jotti in kurzer zeit ein passwort aus 4 buchstaben und einer zahl entschlüsseln? ....

das find ich stark...früher hat man sich auf infected beruht...zuminderst wars anfangs nur so bei mc afee!

bedeutet ja, das gewisse wächter (zuminderst antivir hats getroffen) da online jetzt in selbst-geschütze archive auch schau...äh..scannen! (bis auf die anderen ergebnisse suspekt und small..etc...)

oder bin ich immer noch am bahnhof?



Der Beitrag wurde von rock bearbeitet: 20.12.2006, 19:41

[Solution-Design]

Nein nein, du siehst das schon richtig. Kaspersky, Avira, NOD32... ist ein interessanter Weg. Aber da das Ding nicht entpackbar war, müssen sie das über den Dateinamen herausgefummelt, eruiert haben. Oder der doppelten Datei-Endung. Interessant, aber nicht ungefährlich (wegen false positiv).

[Gast_rock_*]

hast du die datei mal ohne passwort bei v-total hochgeladen?
========
wenn mit passwort, dann geh vorher in die eigenschaften der datei und schreib einfach wilden mist rein, schreibschützen,....
dann schicks nochmal hoch bei v-total. ( UND! nimm ein eigenes erfundenes passwort dafür!)



Der Beitrag wurde von rock bearbeitet: 20.12.2006, 20:10

[Solution-Design]

hast du die datei mal ohne passwort bei v-total hochgeladen?
========
wenn mit passwort, dann geh vorher in die eigenschaften der datei und schreib einfach wilden mist rein, schreibschützen,....
dann schicks nochmal hoch bei v-total. ( UND! nimm ein eigenes erfundenes passwort dafür!)

Ja, hier mit Passwort: http://www.rokop-security.de/index.php?s=&...st&p=179021

Und zuletzt ohne Passwort. Da wo DrWeb gepatzt hat.

....Warum das vorherige Post jetzt 3-mal auftauchte... keine Ahnung. Hab's gelöscht.

[Voyager]

und wieder nee Fakerechnung
Datei: Rechnung_23011.exe
Jotti :
AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Generic.Malware.dld!!.D6279E29 gefunden
ClamAV Trojan.Downloader-243 gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus W32/Downloader.gen9 gefunden
F-Secure Anti-Virus W32/Small.NQT, Trojan-Downloader.Win32.Nurech.t gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan-Downloader.Win32.Nurech.t gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden

virustotal
AntiVir 7.3.0.19 12.21.2006 TR/Agent.6881
Authentium 4.93.8 12.21.2006 W32/Downloader.gen9
Avast 4.7.892.0 12.21.2006 no virus found
AVG 386 12.20.2006 no virus found
BitDefender 7.2 12.21.2006 Generic.Malware.dld!!.D6279E29
CAT-QuickHeal 8.00 12.21.2006 no virus found
ClamAV devel-20060426 12.21.2006 Trojan.Downloader-243
DrWeb 4.33 12.21.2006 no virus found
eSafe 7.0.14.0 12.21.2006 Win32.Downloader
eTrust-InoculateIT 23.73.93 12.21.2006 no virus found
eTrust-Vet 30.3.3268 12.21.2006 no virus found
Ewido 4.0 12.21.2006 no virus found
Fortinet 2.82.0.0 12.21.2006 no virus found
F-Prot 3.16f 12.21.2006 W32/Downloader.gen9
F-Prot4 4.2.1.29 12.21.2006 W32/Downloader.gen9
Ikarus T3.1.0.27 12.21.2006 Win32.Outbreak
Kaspersky 4.0.2.24 12.21.2006 Trojan-Downloader.Win32.Nurech.t
McAfee 4923 12.20.2006 no virus found
Microsoft 1.1904 12.21.2006 no virus found
NOD32v2 1933 12.21.2006 no virus found
Norman 5.80.02 12.21.2006 no virus found
Panda 9.0.0.4 12.21.2006 no virus found
Prevx1 V2 12.21.2006 no virus found
Sophos 4.12.0 12.21.2006 no virus found
Sunbelt 2.2.907.0 12.18.2006 no virus found
TheHacker 6.0.3.135 12.20.2006 no virus found
UNA 1.83 12.20.2006 no virus found
VBA32 3.11.1 12.20.2006 no virus found
VirusBuster 4.3.19:9 12.21.2006 no virus found

[Gast_rock_*]

wahnsinn... so ein schlechtes ergebnis... wo die rechnungen jetzt wieder herkommen...

SOPHOS erkennt übrigens laut eigenen lexikon 2 varianten von W32/Nurech.t H

"nur echt" ist ja auch ein netter ausdruck dafür"!

[Solution-Design]

@Bond7
Und was sagte NAV2007?


Antivir erschreckt mich immer mehr, ob seiner guten Leistung.

[Voyager]

Norton erkennts noch nicht , wird daran liegen das es entweder noch unbekannt ist oder wie üblich exotisch gepackt ist .
Kaspersky erkennts aber auch erst seit Nachmittag :
Trojan-Downloader.Win32.Nurech.t
[ Virus Watch ]
Malware detected 21.12.2006 14:15:08 Update released 21.12.2006 16:08:27

Etwas positives ist aber dabei gewesen , Outlook blockiert den Anhang sofort da es ein reiner EXE-Anhang war.
----------------
igg muss mia berichtigen....
Wurde soeben erkannt , kuckst du Bild. (muschd draufklickn)
In den Risikoeigenschaften steht sogar dabei das die Malware DLL-Injektionseigenschaften besitzt.

Der Beitrag wurde von bond7 bearbeitet: 21.12.2006, 23:56