Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Voyager]

Das Ding installiert einen Dienst wm1984.exe , der wird von Sonar erkannt.


http://www.abload.de/img/11w717.jpg

[Rios]

Mir geht der Hut ab. das Teil gibt es schon länger!!




hxxp://www.evidenceeraser.com

[Solution-Design]

VT eben.

http://securityresponse.symantec.com/secur...-051315-3512-99


a-squared kann den Mist nur per Adminrechte wieder löschen - wie so vieles - Aber: Die Installation wird erlaubt, das Starten des Programmes nicht.

c:\users\uwe kraatz\appdata\roaming\evidenceeraser gefunden: Trace.Directory.EvidenceEraser 4.2!A2
c:\programdata\microsoft\windows\start menu\programs\evidenceeraser gefunden: Trace.Directory.EvidenceEraser 4.2!A2
c:\program files\evidenceeraser gefunden: Trace.Directory.EvidenceEraser 4.2!A2
c:\programdata\microsoft\windows\start menu\programs\evidenceeraser\evidenceeraser on the web.lnk gefunden: Trace.File.EvidenceEraser 4.2!A2
c:\programdata\microsoft\windows\start menu\programs\evidenceeraser\evidenceeraser.lnk gefunden: Trace.File.EvidenceEraser 4.2!A2
c:\program files\evidenceeraser\database.ref gefunden: Trace.File.EvidenceEraser 4.2!A2
c:\program files\evidenceeraser\evidenceeraser.exe gefunden: Trace.File.EvidenceEraser 4.2!A2
c:\program files\evidenceeraser\evidenceeraser.url gefunden: Trace.File.EvidenceEraser 4.2!A2
c:\program files\evidenceeraser\launcher.exe gefunden: Trace.File.EvidenceEraser 4.2!A2
c:\program files\evidenceeraser\privacyshell.dll gefunden: Trace.File.EvidenceEraser 4.2!A2
Value: HKEY_USERS\S-1-5-21-3950735833-142819882-62856151-1000\Software\Microsoft\Windows\CurrentVersion\Run --> EvidenceEraser gefunden: Trace.Registry.EvidenceEraser 4.2!A2
Value: HKEY_CLASSES_ROOT\CLSID\{6D642CFA-40F8-4AE0-9144-538BC1D725E4}\InprocServer32 --> ThreadingModel gefunden: Trace.Registry.PrivacyControl!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6D642CFA-40F8-4AE0-9144-538BC1D725E4}\InprocServer32 --> ThreadingModel gefunden: Trace.Registry.PrivacyControl!A2
C:\Program Files\EvidenceEraser\EvidenceEraser.exe gefunden: Riskware.FraudTool.Win32.EvidenceEraser!IK
C:\Program Files\EvidenceEraser\PrivacyShell.dll gefunden: Riskware.FraudTool.Win32.EvidenceEraser.j!A2

Der Beitrag wurde von Solution-Design bearbeitet: 30.05.2009, 11:22

[citro]

Bewerbungsfoto von Olga.

Selten, Avira hat dafür noch keine Signatur .




ThreatExpert

http://www.threatexpert.com/report.aspx?md...c687c548569d2fc

Der Beitrag wurde von citro bearbeitet: 30.05.2009, 18:55

[Gast_Xeon_*]

Bewerbungsfoto von Olga.

Erkennt NAV es wirklich auch nicht per Signatur bei dir ?

Der Beitrag wurde von Xeon bearbeitet: 30.05.2009, 16:56

[citro]

Erkennt NAV es wirklich auch nicht per Signatur bei dir ?

Auch nicht, wahrscheinlich beim Ausführen - habe aber keine VM

[Julian]

Ich wusste es, die Malware-Schreiber haben es auf mich abgesehen

http://www.virustotal.com/de/analisis/dfa1...90f0-1243767461

Der Name der Malware-Exe ist natürlich vom Benutzernamen abhängig

[Kenshiro]

Mächtig stolz Julian?

[Julian]

Mächtig stolz Julian?

Nö

Hier das Ergebnis des "Parents":
http://www.virustotal.com/de/analisis/ae5d...2b15-1243768394
KIS erkennt es im Automatikmodus mittels HIPS & proaktiver Schutz. Man muss zwar zwei Pop Ups bestätigen, was aber wegen der Situationsbeschreibung von KIS nicht allzu schwer sein sollte.
Nach einem Neustart läuft dann zwar immer noch die "julian.exe" oder was auch immer, wenn man sie aber im entsprechenden Pop Up in die stark beschränkte Gruppe gepackt hat, passiert wohl nichts schlimmes mehr. Natürlich trotzdem doof, dass sie immer im Hintergrund läuft. Was passiert wohl, wenn man KIS aus macht? Oder ist eventuell sogar der MBR verseucht?

[olli]

SuMo jetzt Malware?

Ergebnisse von Virscan.org
Dr.Web 4.44.0.9170 2009.05.31 2009-05-31
Adware.Relevant.10
5.134
BitDefender 7.81008.3258474 7.25739 2009-05-31
Adware.Relevant.AV
3.781
Comodo 3.9 1224 2009-05-31
UnclassifiedMalware
0.723
VBA32 3.12.10.6 20090530.1313 2009-05-30
Win32.Adware.Agent.NMA
3.380


Ergbenisse von VT:
a-squared 4.0.0.101 2009.05.31 -
AhnLab-V3 5.0.0.2 2009.05.31 -
AntiVir 7.9.0.180 2009.05.30 -
Antiy-AVL 2.0.3.1 2009.05.31 -
Authentium 5.1.2.4 2009.05.31 -
Avast 4.8.1335.0 2009.05.30 -
AVG 8.5.0.339 2009.05.31 -
BitDefender 7.2 2009.05.31 Adware.Relevant.AV
CAT-QuickHeal 10.00 2009.05.29 -
ClamAV 0.94.1 2009.05.30 -
Comodo 1224 2009.05.31 UnclassifiedMalware
DrWeb 5.0.0.12182 2009.05.29 Adware.Relevant.10
eSafe 7.0.17.0 2009.05.27 Win32.Banker
eTrust-Vet 31.6.6530 2009.05.30 -
F-Prot 4.4.4.56 2009.05.31 -
F-Secure 8.0.14470.0 2009.05.31 -
Fortinet 3.117.0.0 2009.05.31 -
GData 19 2009.05.31 Adware.Relevant.AV
Ikarus T3.1.1.57.0 2009.05.31 -
K7AntiVirus 7.10.749 2009.05.29 -
Kaspersky 7.0.0.125 2009.05.31 -
McAfee 5632 2009.05.31 -
McAfee+Artemis 5632 2009.05.31 Artemis!2E49803DB252
McAfee-GW-Edition 6.7.6 2009.05.29 -
Microsoft 1.4701 2009.05.31 -
NOD32 4117 2009.05.30 Win32/Adware.Agent.NMA
Norman 6.01.05 2009.05.29 -
nProtect 2009.1.8.0 2009.05.31 -
Panda 10.0.0.14 2009.05.31 Suspicious file
PCTools 4.4.2.0 2009.05.31 -
Prevx 3.0 2009.05.31 -
Rising 21.31.64.00 2009.05.31 -
Sophos 4.42.0 2009.05.31 -
Sunbelt 3.2.1858.2 2009.05.30 -
Symantec 1.4.4.12 2009.05.31 -
TheHacker 6.3.4.3.334 2009.05.29 -
TrendMicro 8.950.0.1092 2009.05.29 -
VBA32 3.12.10.6 2009.05.31 Win32.Adware.Agent.NMA

Bis denne
Olli

Der Beitrag wurde von olli bearbeitet: 31.05.2009, 20:17

[Rios]

Doch Olli, bei mir zückt G-Data die rote Karte. Ergebnis wie Bitdefender!

[Solution-Design]

SuMo jetzt Malware?

Was ist SuMo?

[Solution-Design]

Auch nicht, wahrscheinlich beim Ausführen - habe aber keine VM

Returnil als Freeware oder ShadowDefender reichen für solche Spielchen auch. Da, wie bei mir... wichtige Daten sowieso in gecrypteten Containern liegen, lässt sich so was schon mal machen

[Kenshiro]

Moin Solution-Design,

worin besteht der Unterschied zw. Returnil [free] und ShadowDefender bitte?
Kann der eine mehr als der andere?
Danke Uwe

Der Beitrag wurde von Kenshiro bearbeitet: 01.06.2009, 08:30

[Julian]

Auch mal wieder ziemliche Flaute:
http://www.virustotal.com/de/analisis/fc2c...340d-1243858239
KAV-Heuristik erkennt es, was bei der Aktivität, die das Teil an den Tag legt, auch nicht weiter verwundert.

[Voyager]

Schaden wirds keinen mehr anrichten , der Download Link ist schon tot.

[Julian]

War das Teil auf MDL verlinkt?

Da sieht man mal wieder, wie wichtig eine gute proaktive Erkennung ist, mit Signaturen kommt da keiner hinterher.

[Rios]

Kann sich das Teil mal jemand genauer ansehen?
Vtt
h??p://internet-explorer-cleaner.com

Avira Antwort: Malware DR/MonaGray.AA beim nächsten Update!!

Der Beitrag wurde von Rios bearbeitet: 02.06.2009, 09:24

[Rios]

Auch mal wieder ziemliche Flaute:
http://www.virustotal.com/de/analisis/fc2c...340d-1243858239
KAV-Heuristik erkennt es, was bei der Aktivität, die das Teil an den Tag legt, auch nicht weiter verwundert.

Aktuell!!
Vtt

[olli]

Hi rios,

leider führt dein Link ins leere...

Kannst Du nochmal das VT-Ergebnuis posten?

Bis dann
Olli