Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Voyager]

Soweit ich weiss nicht , Kurz-Pc hatte NAB nicht auf automatische Bereinigung gestellt von daher konnte Sonar das Risiko in aller Ruhe erkennen . Inwieweit NAB dort noch etwas bereinigen konnte oder wer das Risiko nun bereinigt hatte müsste Kurz-Pc ausführlicher werden.

[Stefan]

Nach langer Zeit mal etwas verdächtiges per Mail erhalten:

http://www.virustotal.com/de/analisis/564f...808b613021c8c6d

Entweder etwas neues, oder doch eher harmlos?
Mal sehen was man nach der Analyse zu meiner Einsendung sagt.

[markus17]

Ich bekomme in letzter Zeit allgemein fast keinen Spam. Vor ein paar Wochen war mal ein Bild im Anhang, welches aber sauber war. Malware per Mail verbreiten scheint zur Zeit nicht wirklich interessant zu sein. (außer die Rechnungen für Zwischendurch )

Der Beitrag wurde von markus17 bearbeitet: 24.03.2009, 21:03

[Stefan]

Einstufung von AVG erfolgte inzwischen als PUP:

[...] Please let us inform you that the file you have sent us for the
analysis will be detected in new virus update as new PUP
Fake_AntiSpyware variant. [...]

Edit:

Wieder ein Beweis, dass man sich auf Jotti & Co. nicht verlassen kann (sollte).
Mit aktueller Signatur wird die Datei hier von AVG nämlich als "Fake_AntiSpyware.BSG" erkannt.





Der Beitrag wurde von Stefan bearbeitet: 25.03.2009, 12:37

[citro]

Per E-Mail

http://www.virustotal.com/de/analisis/7cbf...9985e4312175c3d

Symantec per Rechtsklick nichts

Avira:

[0] Archivtyp: ZIP
--> Foto-Susi-.jgp.com
[1] Archivtyp: ZIP SFX (self extracting)
[FUND] Ist das Trojanische Pferd TR/Drop.Mudrop.CY
--> Foto.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Mudrop.CZ
--> windows1.bat
[FUND] Enthält Erkennungsmuster des Batch-Virus BAT/KillAV.MAS
--> windows3.bat
[FUND] Enthält Erkennungsmuster des Batch-Virus BAT/KillAV.CK

[markus17]

hxxp://indidrugs.com/91hlp/24/load.exe
http://www.virustotal.com/analisis/85cb35d...bb678bc50d7fd01

hxxp://vertusale.cn/zzzz/ldr.exe
http://www.virustotal.com/analisis/4ca12a3...85c1afb8505a71b

[Voyager]

Sehen wir die Sache mal anders, irgendwo her muss die load.exe aus Markus Erkennung ja kommen und schauen einfach mal was sich im übergeordneten Pfad so alles tut.



Ahja, das ist es also... Wenn die Seite einmal über den normalen Infektionsweg blockiert wird (ich vermute mal Spam) kommt der Norton User garnicht an die load.exe und ist somit auch geschützt.

[chris30duew]

und bei keinem von beiden seiten, erkennt erkennungskönig was so wie es scheint. und es wird wohl auch etwas dauern, da die schönen zeit vorbei sind, da man an kaspersky eine malware senden konnte, wenige zeit später eine antwort bekam und das file dann erkannt wurde
bei bitdefender und avast scheinen einsendungen ins nichts zu verschwinden, weder antwort noch sonstiges kommt. bin mal gespannt wann was erkannt wird.

lasse mich auch gern eines besseren belehren

[Gast_Xeon_*]

lasse mich auch gern eines besseren belehren

QUELLTEXT

hxxp://indidrugs.com/91hlp/24/load.exe

Die load.exe wird von G Data nicht erkannt, auch nicht von der Verhaltensüberwachnung.

QUELLTEXT

hxxp://vertusale.cn/zzzz/ldr.exe

Wird von G Data erkannt, die Seite wird gesperrt.

Der Beitrag wurde von Xeon bearbeitet: 07.04.2009, 23:04

[markus17]

Sehen wir die Sache mal anders, irgendwo her muss die load.exe aus Markus Erkennung ja kommen und schauen einfach mal was sich im übergeordneten Pfad so alles tut.



Ahja, das ist es also... Wenn die Seite einmal über den normalen Infektionsweg blockiert wird (ich vermute mal Spam) kommt der Norton User garnicht an die load.exe und ist somit auch geschützt.

Eines höher warnt mich auch G Data davor (Avast Engine). Die load.exe jedoch nicht.

[chris30duew]

also werden beide seiten von der oberen ebene aus gesperrt richtig? dann isses ja ok

[Voyager]

das mit der Load.exe hat sich auch schon erledigt , wird als Infostealer.Banker.C erkannt.

QUELLTEXT

Scanstatistik:
Scanzeit: 124 Sek.
Scanoptionen:  
Scanziele: F:\40\1
  Zähler:
Gescannte Elemente insgesamt: 6.698
– Dateien und Laufwerke: 6.698
– Registrierungseinträge: 0
– Prozesse und Elemente beim Start: 0
– Netzwerk und Browser-Elemente: 0
– Sonstiges: 0
– Vertrauenswürdige Dateien: 2
– Übersprungene Dateien: 0

Erkannte Sicherheitsrisiken insgesamt: 1
Behobene Elemente insgesamt: 1
Elemente insgesamt, die Aufmerksamkeit erfordern: 0

Behobene Bedrohungen:
Infostealer.Banker.C
Typ: Anomalie
Risiko: Hoch (Hoch Stealth, Hoch Entfernung, Hoch Leistung, Hoch Datenschutz)
Kategorien: Virus
Status: Neustart erforderlich
-----------
33 Registrierungseinträge
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon->Userinit:C:\WINDOWS\system32\userinit.exe, - Neustart erforderlich
HKEY_USERS\S-1-5-21-1135998351-3603475539-2497979282-500\Software\Microsoft\Windows\CurrentVersion\Run->userinit - Neustart erforderlich
HKEY_USERS\S-1-5-21-1135998351-3603475539-2497979282-501\Software\Microsoft\Windows\CurrentVersion\Run->userinit - Neustart erforderlich
[Eingeschränktes Element (Berechtigung erforderlich)] - N/A
[Eingeschränktes Element (Berechtigung erforderlich)] - N/A
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run->userinit - Neustart erforderlich
HKEY_USERS\S-1-5-21-1135998351-3603475539-2497979282-1000\Software\Microsoft\Windows\CurrentVersion\Run->userinit - Neustart erforderlich
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion->Win32 - Neustart erforderlich
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network->UID - Neustart erforderlich
HKEY_USERS\S-1-5-21-1135998351-3603475539-2497979282-500\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network->UID - Neustart erforderlich
HKEY_USERS\S-1-5-21-1135998351-3603475539-2497979282-501\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network->UID - Neustart erforderlich
HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network->UID - Neustart erforderlich
HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network->UID - Neustart erforderlich
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network->UID - Neustart erforderlich
HKEY_USERS\S-1-5-21-1135998351-3603475539-2497979282-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network->UID - Neustart erforderlich
HKEY_USERS\S-1-5-21-1135998351-3603475539-2497979282-500\Software\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} - Neustart erforderlich
HKEY_USERS\S-1-5-21-1135998351-3603475539-2497979282-501\Software\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} - Neustart erforderlich
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} - Neustart erforderlich
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} - Neustart erforderlich
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} - Neustart erforderlich
HKEY_USERS\S-1-5-21-1135998351-3603475539-2497979282-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} - Neustart erforderlich
HKEY_USERS\S-1-5-21-1135998351-3603475539-2497979282-500\Software\Microsoft\Windows\CurrentVersion\Explorer\{35106240-D2F0-DB35-716E-127EB80A0299} - Neustart erforderlich
HKEY_USERS\S-1-5-21-1135998351-3603475539-2497979282-501\Software\Microsoft\Windows\CurrentVersion\Explorer\{35106240-D2F0-DB35-716E-127EB80A0299} - Neustart erforderlich
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Explorer\{35106240-D2F0-DB35-716E-127EB80A0299} - Neustart erforderlich
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\{35106240-D2F0-DB35-716E-127EB80A0299} - Neustart erforderlich
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{35106240-D2F0-DB35-716E-127EB80A0299} - Neustart erforderlich
HKEY_USERS\S-1-5-21-1135998351-3603475539-2497979282-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\{35106240-D2F0-DB35-716E-127EB80A0299} - Neustart erforderlich
HKEY_USERS\S-1-5-21-1135998351-3603475539-2497979282-500\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} - Neustart erforderlich
HKEY_USERS\S-1-5-21-1135998351-3603475539-2497979282-501\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} - Neustart erforderlich
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} - Neustart erforderlich
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} - Neustart erforderlich
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} - Neustart erforderlich
HKEY_USERS\S-1-5-21-1135998351-3603475539-2497979282-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} - Neustart erforderlich
9-Dateien
f:\40\1\load.exe - Gelöscht
c:\users\jens\appdata\local\virtualstore\windows\system32\ntos.exe - Neustart erforderlich
c:\windows\system32\ntos.exe - Neustart erforderlich
c:\users\jens\appdata\local\virtualstore\windows\system32\wsnpoem\audio.dll - Neustart erforderlich
c:\windows\system32\wsnpoem\audio.dll - Neustart erforderlich
c:\users\jens\appdata\local\virtualstore\windows\system32\wsnpoem\video.dll - Neustart erforderlich
c:\windows\system32\wsnpoem\video.dll - Neustart erforderlich
c:\users\jens\appdata\local\virtualstore\windows\system32\wsnpoem - Neustart erforderlich
c:\windows\system32\wsnpoem - Neustart erforderlich
1 Browser-Cache

Nicht behobene Bedrohungen:
Keine nicht behobenen Risiken

Bevor jemand fragt... Alle Angaben ausserhalb der load.exe gehören zum fest vorgegebenen Bereinigungsprogramm, nichts davon existiert hier auf dem System, mich hatte das anfangs auch mal erschreckt

[Rios]

Das Teil versteckt sich im Moment noch relativ gut.





Virustotal
Malwarebytes kein Fund
Superantispyware kein Fund

[ABE]

KIS 2009 blockiert den Download.

[Gast_reuro_*]

Avira IS blockiert diese Seite auch.

LG Rolf

[Gast_teddy247_*]

Hola


etdscanner.com

Wot= rot

Norton Safe Web:

edrohungsbericht

Gesamtzahl gefundener Bedrohungen: 1

Small-whitebg-red Sicherheitsrisiken (Was ist das?)

Gefundene Bedrohungen: 1
Hier ist eine vollständige Liste:
Name der Bedrohung: ETDScanner
Adresse: hxxp://etdscanner.com/download/setup.exe

[Kenshiro]

G-Data schweigt

[Gast_Poulsen_*]

Der König der 99,99999999%tigen Erkennung schweigt. Na das ist ja für uns alle unfassbar

Der Beitrag wurde von Poulsen bearbeitet: 17.04.2009, 15:14

[Kenshiro]

Poulsen schweigt nod auch?

[Julian]

Bei neuer Malware ist AntiVir eh viel besser als Gdata, da verpuffen die 0,1% mehr Erkennungsrate bei AV-Comparatives...