Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Rios]

Siehst du auf dem Bildschirm nix, greife schnell zu Windofix nein!! lieber nicht!!

Virustotal 0/41
h??p://windofix.com
nö gelöscht wird hier nichts, wäre aber Interessant, was er löschen wollte.

Das soll mal einer verstehen??
http://www.siteadvisor.com/sites/trustedsource.org
http://www.trustedsource.org/query/windofix.com

[Voyager]

Antibot gibt keinen Hinweis das die Scareware in das Windowsverzeichnis Schreibvorgänge macht , für mich sieht es nach nur Scareware aus.

[Voyager]

hmm ich bin begeistert , die machen sogar einmal was man denen sagt bei Symantec .

filename: WindoFixSetup.exe
machine: Machine
result: This file is detected as ErrorRepair.
Developer notes: WindoFixSetup.exe is a misleading application.

@Mod
Wenn ihr 2 Sekunden Zeit habt, setzt den Beitrag in den oberen, ich kanns nichtmehr editieren.

Der Beitrag wurde von Voyager bearbeitet: 16.07.2009, 12:39

[Voyager]

xpsp2patch.exe
http://www.virustotal.com/de/analisis/9f02...d985-1247738144

Das Teil ist richtig heiss und fettig , "Schreibt in die ServiceDLL" und legt 6to4.dll Services an.
Norton Antibot könnte das bereinigen wenn die Malware nicht den gesamten AutoRun löschen würde , nach jedem Reboot muss ich NAB von Hand starten und dann findet es diesselbe Malware unter einem neuen Namen wieder und muss Sie erneut bereinigen. Das ist vermutlich so eine Art Rasenmähermethode des Virenschreibers gegen AV-Programme.

Mit Sonar2 sieht die Sache schon etwas besser aus , einen Ausreisser gibt es jedoch den Kill.AV der erst über den Autoprotect erkannt wird, Sonar2 hat ihn aber trotzdem schon mitgelöscht aus dem Grund steht dort auch "Keine Aktion unternommen". Zumindestens gibt es keine Änderungen am System und keine Rootkitaktivitäten die Gmer hier in Rot darstellen würde.

http://www.abload.de/img/2ymt7.jpg

Edit:

Der PC mit Gdata2010 ist hier übrigens Schrott , der infizierte PC versucht hier ohne Ende Malware nachzuladen. Mit Gmer und Hijackthis kann man hier nichts ausrichten , es wird nichts angezeigt.


http://www.abload.de/img/23gkj.jpg

Hier könnte die Ursache sein, die Registry Einträge im Bild sind alles Fakes.


http://www.abload.de/img/27cty.jpg

Der Beitrag wurde von Voyager bearbeitet: 16.07.2009, 14:10

[Rios]

Was zur Zeit wieder getunt, repariert und beschleunigt wird, grenzt schon fast an eine Pandemie.
h??p://errortune.com
Vtt bis vor kurzen 0/41
Aber muss trotzdem nicht immer astrein sein.


Der Beitrag wurde von Rios bearbeitet: 16.07.2009, 18:37

[Voyager]

Vtt bis vor kurzen 0/41

tut aber erkannt werden , kannst du das nochmal scannen ?


http://www.abload.de/img/1r8fg.jpg

[Rios]

OK nachgeholt. 1 /41 Panda 10.0.0.14 2009.07.16 Suspicious file

[Solution-Design]

nö gelöscht wird hier nichts, wäre aber Interessant, was er löschen wollte.

Das soll mal einer verstehen??

Also, ich doof, ich verstehe da gar nix. Aber Opa Erwin und Papa Anton, die kapieren dass sicher
Symantec scheint im Augenblick mächtig Gas zu geben. Im Bereich Spyware waren sie ja sowieso schon topp. Wenn jetzt noch Sonar2 implementiert wird... Der WindowFix und PCTune-Mist lässt sich mit AntiBot übrigens nachträglich ganz gut killen.

Der Beitrag wurde von Solution-Design bearbeitet: 16.07.2009, 20:25

[Voyager]

Sonar2 kann bis jetzt sogut wie alles aufhalten bis auf eine Ausnahme , auch NIS2010 kann bisher nichts!! gegen die Rootkitschwemme aus Fakecodecs ausrichten die das Norton Forum mit Betroffenen ohne Ende füllt . Symantec scheint da bisher auch keinerlei Interesse zu zeigen irgend etwas daran ändern zu wollen was ich absolut nicht verstehen kann , aber vll. erhellt uns ja unser Norton Forum Assistent im Rokop Forum

[flexibel44]

Im Großen und Ganzen scheint die Version 2010 aber doch ziemlich gut zu werden.

[Voyager]

"antimalwareaupdateserver.com/Driver.exe" Kann damit irgend jemand etwas anfangen , was für eine Art Malware das ist ?

http://www.virustotal.com/de/analisis/ad1f...cf86-1247863240
http://virscan.org/report/2c184ad5edb94a30...602c077df0.html
Virustotal zeigt noch Null Detection aber Sonar2 schlägt hier natürlich an und schmeisst das gleich runter. NAB zeigt hier auf das ein Netfilter als Autorun angelegt wird und noch anderer Kram ins System installiert wird , das wird aber nicht von NAB selbst bemängelt muss ich manuell bereinigen.
O4 - HKLM\..\Run: [MSDRV] NetFilter.exe

http://www.abload.de/img/1z2dl.jpg

Der Beitrag wurde von Voyager bearbeitet: 17.07.2009, 22:37

[markus17]

Mit G Data siehts eher schlecht aus:

Man kann eigentlich nur den Autostart von der Netfilter.exe unterbinden, wobei sich das ganze dann trotzdem nach einem Neustart einnistet. (sieht man sogar im Taskmanager). Wie ein Rootkit sieht es auch nicht aus, da der Prozess+dll und auch die Treiberdatei, die sich im System32/drivers Verzeichnis einnistet erkennbar sind.

Sonst kann ich eigentlich nicht wirklich entdecken was das Ding macht. In Wireshark konnte ich jetzt auch keine komischen Verbindungen entdecken und netstat sagt auch nicht. Da der Prozess allerdings netfilter.exe heißt, müsste (kann ) er doch etwas mit einem Netzwerk bzw. mit einer Datenübertragung zu tun haben.

[Voyager]

Der Prozess selbst wird ebenfalls von keinem bemängelt ausser Comodo , er findet daran nur einen ungewöhnlichen EXE-Packer. - Heur.Packed.Unknown

http://www.virscan.org/report/d858bdf537d0...5445afbe01.html

Koscher klingt das Ding nicht und mir kann keiner so schnell weissmachen das das File clean ist was man schon an dem AutoRun erkennt. O4 - HKLM\..\Run: [MSDRV] NetFilter.exe

Sonar2 scheint bis jetzt als einziger das Ding bekämpfen zu können.

[Julian]

Der Prozess selbst wird ebenfalls von keinem bemängelt ausser Comodo , er findet daran nur einen ungewöhnlichen EXE-Packer. - Heur.Packed.Unknown

Das täte es aber nur mit mittlerer oder hoher Heuristik-Stufe, welche standardmäßig nicht eingestellt ist.
Mittlerweile erkennt Comodo es aber mit (generischer) Signatur

[Voyager]

Symantec 1.4.4.12 2009.07.18 Trojan.Dropper
Uhhh , ich hab das bei Symantec eingeschickt als unbekannte Malware und die labern mich diesma nee voll das die Datei sauber ist ? Es geschehen noch Zeichen und Wunder

Da isser erkannt.


http://www.abload.de/img/1mlur.jpg

Der Beitrag wurde von Voyager bearbeitet: 18.07.2009, 16:24

[Solution-Design]

O4 - HKLM\..\Run: [MSDRV] NetFilter.exe
Sonar2 scheint bis jetzt als einziger das Ding bekämpfen zu können.

a-squared bemeckert eine netfilter.exe im Temp-Verzeichnis. Mehr gibt es als Hinweis aber nicht zu sehen. Interessantes File. Denke, ich lasse es ohne AV mal durchlaufen.

[markus17]

Mittlerweile hat sich auch etwas an der Erkennung getan:
http://www.virustotal.com/analisis/ad1f584...cf86-1247931406

An Bitdefender und Avast habe ich das File heute Mittag gsendet. -> noch keine Reaktion

[Gast_blueX_*]

Fortinet und Kaspersky sagen, dass es keine Malware sei.

Die Antwort von Fortinet, als ich nochmals nachgefragt habe, ob es denn wirklich keine Malware sei:



The sample you submitted will install a normal drive, then delete the installer itself, and modify Registry to achieve autostart.These actions are similar to some trojans'. One of the files it dropped is packed. Some vendors may detect it for these actions. At present, we find no other suspicious action, and think it is no necessary to detect it now.

[Voyager]

The sample you submitted will install a normal drive

Ich finde sowas nicht auf der VM , da ist kein Laufwerk.

At present, we find no other suspicious action

vll. sind die auch nur überfordert damit.

Wenn ich mir die Herkunft und Reputationsbewertung des Samples ansehe :
http://www.mywot.com/de/scorecard/antimalw...pdateserver.com
und dann installiert sehe das das Ding auch noch Netzwerkfilter heisst dann sollte man vll. etwas gründlicher nach "suspicious actions" suchen.
Die zwei zusätzlich installierten Dateien sind übrigens NDISRD IOCTL wrapper DLL/NDIS packet redirector driver - Windows Packet Filter Kit , braucht man sowas für normal drives ?

Vll gibt ja Dr.Web einen Hinweis auf die Funktion bzw. Funktionsweise des Samples , Trojan.AntiAV .

Edit:

Hier ist noch der TE Report

http://www.threatexpert.com/report.aspx?md...6b437be9a9abead
der besagt auch schon einiges über die Funktionsweise , wäre vll. ratsam die AV-Firmen damit zu konfrontieren.

Der Beitrag wurde von Voyager bearbeitet: 18.07.2009, 23:08

[Julian]

Sehr verdächtig ist es alle Mal.