Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Voyager]

Einmal sinds nur nutzlose Logs wo man nicht weiss was das überhaupt sein soll und dann kommen Direktlinks zur Schadsoftware dazu ? Mensch Rock.... Ich würde das in deiner Signatur ändern weil es trifft leider nur dich selbst.

[Gast_kurz-pc_*]

Hier ist mal wider ein neuer Spyware Scanner mit den bescheiden Namen AntiSpywareExpert.

[Rios]

Und der hier ist so frisch, wird nur durch Nod im Moment erkannt. hxxp://malwarebell.com

[chris30duew]

Malwarebell.com könnte aber auch diesmal ein Fehlalarm von NOD32 sein, was ja auch vorkommen kann. Denn erstens ist komisch das ihn keiner kennt, hatte ihn grad nochmal hochgeladen bei Virustotal und eben kam auch das Ergebnis der Virenanalyse von Avira, und die ist meines Erachtens wenn man etwas einsendet zum untersuchen recht gründlich:

Verdächtige Dateien und sonstige Uploads

Vielen Dank für Ihre Submission. Im folgenden sehen Sie den derzeitigen Status der übermittelten Dateien:


--------------------------------------------------------------------------------

Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:

Datei ID Dateiname Größe (Byte) Ergebnis
3818493 mb.exe 3.07 MB CLEAN


Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:

Dateiname Ergebnis
mb.exe CLEAN

Die Datei 'mb.exe' wurde als 'CLEAN' eingestuft. Unsere Analytiker haben in dieser Datei keinen Schadcode gefunden.


Tja nun kann man raten.....


PS.: AntiSpywareExpert wird inzwischen auch von Avira erkannt.....

Der Beitrag wurde von chris30duew bearbeitet: 14.04.2008, 22:34

[Gast_kurz-pc_*]

Malwarebell.com könnte aber auch diesmal ein Fehlalarm von NOD32 sein, was ja auch vorkommen kann. Denn erstens ist komisch das ihn keiner kennt, hatte ihn grad nochmal hochgeladen bei Virustotal und eben kam auch das Ergebnis der Virenanalyse von Avira, und die ist meines Erachtens wenn man etwas einsendet zum untersuchen recht gründlich:

Verdächtige Dateien und sonstige Uploads

Vielen Dank für Ihre Submission. Im folgenden sehen Sie den derzeitigen Status der übermittelten Dateien:


--------------------------------------------------------------------------------

Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:

Datei ID Dateiname Größe (Byte) Ergebnis
3818493 mb.exe 3.07 MB CLEAN


Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:

Dateiname Ergebnis
mb.exe CLEAN

Die Datei 'mb.exe' wurde als 'CLEAN' eingestuft. Unsere Analytiker haben in dieser Datei keinen Schadcode gefunden.


Tja nun kann man raten.....


PS.: AntiSpywareExpert wird inzwischen auch von Avira erkannt.....

Ist echt komisch hab auch an Antivir geschickt und auch diese Antwort bekommen.

Fortinet hat das hier geantwortet:

Dear

Your submission "mb.exe" will be detected as W32/Fake.B!tr in our next AV update.

Best Regards,
AV Lab - Bernard

Hab aber e an alle Virenhersteller, die ich kenne geschickt mal sehen was die Antworten werden.

[Solution-Design]

Und der hier ist so frisch, wird nur durch Nod im Moment erkannt. hxxp://malwarebell.com

Zumindest gibt es reichlich Remover http://www.google.de/search?q=%22malware+b...s=de&hs=MYW

[chris30duew]

wobei ich auch sagen muss, das zb netpumper.com auch ewig von avira nicht erkannt wurde, weder bei VT oder wenn mans runterlädt. Und als ich es einschickte kam auch als antwort, das das file clean ist. Nur komisch war, als ich es testweise mal installiert hatte, wurde beim installieren der trojaner swizzor von avira geblockt.

Nun seit heute wird auch netpumper.com vom webguard komplett beim download geblockt. keine ahnung was das sollte seitens avira, aber vll verhält es sich bei mb.exe auch so....

[Rios]

Also man brauchte hier von Anfang an nicht zweifeln, nur weil ihn kein anderer kannte, Nod ausgenommen. Hier die weiteren Reaktionen.

[Solution-Design]

Nun seit heute wird auch netpumper.com vom webguard komplett beim download geblockt. keine ahnung was das sollte seitens avira, aber vll verhält es sich bei mb.exe auch so....

Abwarten. Netpumper ... muss man nicht verstehen. Zumal das Ding schon älter ist http://securityresponse.symantec.com/secur...-071314-4105-99

[Gast_rock_*]

Zumindest gibt es reichlich Remover http://www.google.de/search?q=%22malware+b...s=de&hs=MYW

heute stehts auch auf der seite:
http://www.securitycadets.com/category/rogue-programs/

obwohl das datum auf 14ten steht...ich sehs heut zum ersten mal!

[Gast_rock_*]

die sind noch von gestern.....

AhnLab-V3 2008.4.15.0 2008.04.14 -
AntiVir 7.6.0.85 2008.04.14 TR/Dldr.IstBar.30498
Authentium 4.93.8 2008.04.14 W32/Mudrop.BF@dr
Avast 4.8.1169.0 2008.04.15 Win32:Small-JMH
AVG 7.5.0.516 2008.04.14 Dropper.Delf.CR
BitDefender 7.2 2008.04.15 Trojan.Dropper.Mudrop.DU
CAT-QuickHeal 9.50 2008.04.14 TrojanDropper.Mudrop.du
ClamAV 0.92.1 2008.04.15 Trojan.Dropper-1179
DrWeb 4.44.0.09170 2008.04.14 Trojan.MulDrop.7409
eSafe 7.0.15.0 2008.04.09 -
eTrust-Vet 31.3.5699 2008.04.14 -
Ewido 4.0 2008.04.14 Dropper.Mudrop.du
F-Prot 4.4.2.54 2008.04.14 W32/Mudrop.BF@dr
F-Secure 6.70.13260.0 2008.04.15 Trojan-Dropper.Win32.Mudrop.du
FileAdvisor 1 2008.04.15 -
Fortinet 3.14.0.0 2008.04.15 -
Ikarus T3.1.1.26.0 2008.04.15 Trojan-Dropper.Win32.Mudrop.du
Kaspersky 7.0.0.125 2008.04.15 Trojan-Dropper.Win32.Mudrop.du
McAfee 5273 2008.04.14 -
Microsoft 1.3408 2008.04.14 TrojanDropper:Win32/Mudrop.V
NOD32v2 3026 2008.04.14 -
Norman 5.80.02 2008.04.14 -
Panda 9.0.0.4 2008.04.14 Suspicious file
Prevx1 V2 2008.04.15 Heuristic: Suspicious Self Modifying EXE
Rising 20.40.02.00 2008.04.14 Trojan.Win32.Mudrop.iy
Sophos 4.28.0 2008.04.15 Mal/DownLdr-O
Sunbelt 3.0.1041.0 2008.04.12 -
Symantec 10 2008.04.15 -
TheHacker 6.2.92.277 2008.04.14 -
VBA32 3.12.6.4 2008.04.14 Trojan-Dropper.Win32.Mudrop.du
VirusBuster 4.3.26:9 2008.04.14 -
Webwasher-Gateway 6.6.2 2008.04.14 Trojan.Dldr.IstBar.30498


AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - (Suspicious) - DNAScan
ClamAV - - PUA.Packed.UPack-2
DrWeb - - -
eSafe - - Suspicious File
eTrust-Vet - - -
Ewido - - -
F-Prot - - W32/Heuristic-162!Eldorado
F-Secure - - Suspicious:W32/Malware!Gemini
FileAdvisor - - -
Fortinet - - -
Ikarus - - Trojan-Downloader.Win32.Zlob.and
Kaspersky - - -
McAfee - - New Malware.aj
Microsoft - - -
NOD32v2 - - -
Norman - - W32/Suspicious_U.gen
Panda - - -
Prevx1 - - Generic.Malware
Rising - - -
Sophos - - Mal/Packer
Sunbelt - - VIPRE.Suspicious
Symantec - - -
TheHacker - - Adware/Crack
VBA32 - - -
VirusBuster - - Packed/Upack
Webwasher-Gateway - - Win32.Malware.gen (suspicious)



AhnLab-V3 2008.4.15.1 2008.04.15 Dropper/Xema.7738880
AntiVir 7.6.0.85 2008.04.15 TR/Drop.Delf.XO
Authentium 4.93.8 2008.04.14 W32/Dropper.BOE
Avast 4.8.1169.0 2008.04.15 Win32:Agent-IBY
AVG 7.5.0.516 2008.04.15 Dropper.Generic.FWK
BitDefender 7.2 2008.04.15 Trojan.Dropper.Delf.FP
CAT-QuickHeal 9.50 2008.04.14 TrojanDropper.Delf.xo
ClamAV 0.92.1 2008.04.15 Trojan.Delf-72
DrWeb 4.44.0.09170 2008.04.15 Trojan.MulDrop.5074
eSafe 7.0.15.0 2008.04.09 -
eTrust-Vet 31.3.5700 2008.04.15 Win32/Iflar.O
Ewido 4.0 2008.04.15 Dropper.Delf.xo
F-Prot 4.4.2.54 2008.04.14 W32/Dropper.BOE
F-Secure 6.70.13260.0 2008.04.15 W32/Malware
FileAdvisor 1 2008.04.15 -
Fortinet 3.14.0.0 2008.04.15 W32/Delf.XO!tr.spy
Ikarus T3.1.1.26 2008.04.15 Trojan-Spy.Win32.Delf.du
Kaspersky 7.0.0.125 2008.04.15 Trojan-Dropper.Win32.Delf.xo
McAfee 5273 2008.04.14 FDoS-Spabot
Microsoft 1.3408 2008.04.14 TrojanDropper:Win32/Delf.ZB
NOD32v2 3027 2008.04.15 Win32/TrojanDropper.Delf.XO
Norman 5.80.02 2008.04.14 W32/Delf.AKKZ
Panda 9.0.0.4 2008.04.14 Suspicious file
Prevx1 V2 2008.04.15 -
Rising 20.40.11.00 2008.04.15 Dropper.Agent.ndn
Sophos 4.28.0 2008.04.15 Sus/Dropper-R
Sunbelt 3.0.1041.0 2008.04.12 -
Symantec 10 2008.04.15 -
TheHacker 6.2.92.277 2008.04.14 -
VBA32 3.12.6.4 2008.04.14 Trojan.Spambot
VirusBuster 4.3.26:9 2008.04.14 Trojan.DR.Delf.TVJ
Webwasher-Gateway 6.6.2 2008.04.15 Trojan.Drop.Delf.XO


AhnLab-V3 2008.4.15.1 2008.04.15 -
AntiVir 7.6.0.85 2008.04.15 TR/Agent.AHOL
Authentium 4.93.8 2008.04.14 -
Avast 4.8.1169.0 2008.04.15 -
AVG 7.5.0.516 2008.04.15 Generic_c.HVG
BitDefender 7.2 2008.04.15 Trojan.Agent.AHOL
CAT-QuickHeal 9.50 2008.04.14 (Suspicious) - DNAScan
ClamAV 0.92.1 2008.04.15 PUA.Packed.Themida
DrWeb 4.44.0.09170 2008.04.15 -
eSafe 7.0.15.0 2008.04.09 -
eTrust-Vet 31.3.5700 2008.04.15 -
Ewido 4.0 2008.04.15 -
FileAdvisor 1 2008.04.15 -
Fortinet 3.14.0.0 2008.04.15 -
Ikarus T3.1.1.26.0 2008.04.15 BehavesLikeWin32.ExplorerHijack
Kaspersky 7.0.0.125 2008.04.15 -
McAfee 5273 2008.04.14 -
Microsoft 1.3408 2008.04.14 -
NOD32v2 3027 2008.04.15 probably a variant of Win32/Packed.Themida
Norman 5.80.02 2008.04.14 SDBot.gen8
Panda 9.0.0.4 2008.04.14 -
Prevx1 V2 2008.04.15 Generic.Malware
Rising 20.40.11.00 2008.04.15 -
Sophos 4.28.0 2008.04.15 Sus/ComPack
Sunbelt 3.0.1041.0 2008.04.12 Trojan.Agent.AHOL
Symantec 10 2008.04.15 -
TheHacker 6.2.92.277 2008.04.14 W32/Behav-Heuristic-064
VBA32 3.12.6.4 2008.04.14 -
VirusBuster 4.3.26:9 2008.04.14 -
Webwasher-Gateway 6.6.2 2008.04.15 Trojan.Agent.AHOL



AhnLab-V3 2008.4.15.1 2008.04.15 Win-Trojan/Xema.variant
AntiVir 7.6.0.85 2008.04.15 TR/Dldr.Delf.evm
Authentium 4.93.8 2008.04.14 -
Avast 4.8.1169.0 2008.04.15 Win32:Banload-DNX
AVG 7.5.0.516 2008.04.15 Downloader.Banload.ODA
BitDefender 7.2 2008.04.15 -
CAT-QuickHeal 9.50 2008.04.14 TrojanDownloader.Delf.evm
ClamAV 0.92.1 2008.04.15 Trojan.Downloader-24470
DrWeb 4.44.0.09170 2008.04.15 Trojan.DownLoader.origin
eSafe 7.0.15.0 2008.04.09 Win32.Delf.evm
eTrust-Vet 31.3.5700 2008.04.15 Win32/Bancos.IUD
Ewido 4.0 2008.04.15 Downloader.Delf.ccy
F-Prot 4.4.2.54 2008.04.14 W32/Banload.E.gen!Eldorado
F-Secure 6.70.13260.0 2008.04.15 W32/Malware
FileAdvisor 1 2008.04.15 High threat detected
Fortinet 3.14.0.0 2008.04.15 -
Ikarus T3.1.1.26 2008.04.15 Trojan-Downloader.Win32.Delf.evm
Kaspersky 7.0.0.125 2008.04.15 Trojan-Downloader.Win32.Delf.evm
McAfee 5273 2008.04.14 PWS-Banker.dldr
Microsoft 1.3408 2008.04.14 TrojanDownloader:Win32/Banload.DL
NOD32v2 3027 2008.04.15 Win32/TrojanDownloader.Banload.AOO
Norman 5.80.02 2008.04.14 W32/Malware.CCGQ
Panda 9.0.0.4 2008.04.14 Trj/Banbra.FLL
Prevx1 V2 2008.04.15 Trojan.Banker
Rising 20.40.11.00 2008.04.15 Trojan.Win32.Undef.dey
Sophos 4.28.0 2008.04.15 Mal/Generic-A
Sunbelt 3.0.1041.0 2008.04.12 -
Symantec 10 2008.04.15 Downloader
TheHacker 6.2.92.277 2008.04.14 Trojan/Downloader.Delf.evm
VBA32 3.12.6.4 2008.04.14 Trojan-Downloader.Win32.Delf.evm
VirusBuster 4.3.26:9 2008.04.14 Trojan.DL.Banload.KXE
Webwasher-Gateway 6.6.2 2008.04.15 Trojan.Dldr.Delf.evm

[Solution-Design]

Malwarebell gestern eingeschickt, übers WEB-Interface der Quarantäne, heute erkannt.
http://securityresponse.symantec.com/secur...-041610-3304-99

@rock
Was soll das denn sein "die sind noch von gestern..."?

Screenshot? Link per hxxp://... unkenntlich machen, das wäre mal was. So ist das nur Textmüll.

[Rios]

Ist mir doch gestern glatt in die Finger gekommen. Es ist ein Zlob verwanztes Teil, das sich alles anderes als leicht von einem System entfernen lässt.



So sah es gestern aus.



Aber der W. Defender markierte ihn dennoch


Heute erkennen ihn natürlich auch KAV, und der auf meinem Testrechner installierte Finne.

[Rios]

Und immer wieder der Trick, mit Malware versetzten Downloads von Security Programmen.





KAV und F-Secure haben bereits reagiert. Jetzt auch positive Erkennung.

[Abeltje]

Täusch ich mich oder geht die Microsoft Erkennung steil nach oben? Vor allem fällt mir auf das sie für viele dingen eine "generic" Erkennnung haben - haben die jetzt so ne gute Heuristik? Find's teilweise echt beeindruckend. Wär interessant was über FPs zu wissen.

Der Beitrag wurde von Abeltje bearbeitet: 22.04.2008, 07:34

[Gast_rock_*]

einen aus der letzten ad aware erkennung geklaut ...

h**p://we we we.winreanimator.com/download.php

installer.exe....
datei wurde vor 3 wochen schon gescannt.... akt. ergebnis:


Datei Installer.exe empfangen 2008.04.22 16:35:58 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 24/32 (75%)

AhnLab-V3 2008.4.22.0 2008.04.22 -
AntiVir 7.8.0.8 2008.04.22 SPR/Dldr.Reanimator.A
Authentium 4.93.8 2008.04.22 -
Avast 4.8.1169.0 2008.04.21 Win32:Reanimator-B
AVG 7.5.0.516 2008.04.21 Potentially harmful program Fake_AntiSpyware.NM (edit: AVG Free erkennt nichts)
BitDefender 7.2 2008.04.22 -
CAT-QuickHeal 9.50 2008.04.21 Downloader.Reanimator.a (Not a Virus)
ClamAV 0.92.1 2008.04.22 PUA.Packed.UPack-2
DrWeb 4.44.0.09170 2008.04.22 Trojan.DownLoader.50817
eSafe 7.0.15.0 2008.04.21 Downloader.Win32.Rea
eTrust-Vet 31.3.5723 2008.04.22 Win32/VMalum.CHGV
Ewido 4.0 2008.04.22 Not-A-Virus.Downloader.Win32.Reanimator.a
F-Prot 4.4.2.54 2008.04.21 W32/Heuristic-162!Eldorado
F-Secure 6.70.13260.0 2008.04.22 Suspicious:W32/Malware!Gemini
FileAdvisor 1 2008.04.22 High threat detected
Fortinet 3.14.0.0 2008.04.22 -
Ikarus T3.1.1.26 2008.04.22 not-a-virus:Downloader.Win32.Reanimator.a
Kaspersky 7.0.0.125 2008.04.22 not-a-virus:Downloader.Win32.Reanimator.a
McAfee 5278 2008.04.21 New Malware.aj
Microsoft 1.3408 2008.04.22 -
NOD32v2 3046 2008.04.22 -
Norman 5.80.02 2008.04.21 W32/Suspicious_U.gen
Panda 9.0.0.4 2008.04.21 Suspicious file
Prevx1 V2 2008.04.22 Generic.Malware
Rising 20.41.10.00 2008.04.22 -
Sophos 4.28.0 2008.04.22 Mal/Packer
Sunbelt 3.0.1056.0 2008.04.17 WinReanimator
Symantec 10 2008.04.22 -
TheHacker 6.2.92.286 2008.04.21 Aplicacion/Reanimator.a
VBA32 3.12.6.4 2008.04.16 Downloader.Win32.Reanimator.a
VirusBuster 4.3.26:9 2008.04.21 Packed/Upack
Webwasher-Gateway 6.6.2 2008.04.22 Riskware.Dldr.Reanimator.A



Der Beitrag wurde von rock bearbeitet: 22.04.2008, 15:48

[Voyager]

Das ist nur der Downloader der diese Winreanimator Anwendung Online erst herrunter läd. Dieses erkennt Norton dann.

Risikokategorie: Irreführende Anwendung
Gesamtrisikoauswirkung: Mittel
Leistung: Mittel
Datenschutz: Mittel
Entfernen: Mittel
Verbergen: Mittel
Klicken Sie hier, um weitere Informationen über dieses Risiko zu erhalten: WinReanimator
Durchgeführte Aktion: Blockiert
Betroffene Bereiche: f:\40\1\winreanimator.exe

Risikokategorie: Irreführende Anwendung
Gesamtrisikoauswirkung: Mittel
Leistung: Mittel
Datenschutz: Mittel
Entfernen: Mittel
Verbergen: Mittel
Klicken Sie hier, um weitere Informationen über dieses Risiko zu erhalten: WinReanimator
Durchgeführte Aktion: Blockiert
Betroffene Bereiche: f:\40\1\winreanimator.dll

Der Pfad f:\40\1\ ist das Netzlaufwerk der virtuellen Maschine welches aber auf einer realen Partition liegt die von Norton überwacht wird, dort hin wollte sich die Anwendung kopieren weil ich von dort den Downloader in der VM gestartet hatte.

Der Beitrag wurde von bond7 bearbeitet: 22.04.2008, 16:16

[Gast_Xeon_*]

Das ist nur der Downloader der diese Winreanimator Anwendung Online erst herrunter läd.Dieses erkennt Norton dann.

Ist bei BitDefender auch so,beim Download wird das Ding erkannt und geblockt.

[Rios]

Hier was frisches. Erkennung nicht gut, ist einer der dir viele und falsche Ergebnisse zeigt.



Noch einer.

[Kenshiro]

@Rios

Verrätst Du mir bitte woher Du das immer alles hast?

Der Beitrag wurde von Kenshiro bearbeitet: 22.04.2008, 19:54