Spyware Media-Codec: Wie und woher? Einstellungen

[Voyager]

Das passt scheinbar gerade wieder gut in das Thema rein , vll. hilfts ja dem ein oder anderen.

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions]
"AlwaysPromptWhenDownload"=dword:00000001

Damit der IE nix von alleine ausführt .

[Gast_Jens1962_*]

Bei dir wird die *.exe direkt ausgeführt.

Nö, bei Echsen fragt er. Da muß noch etwas anderes laufen.

Internet-Explorer
"Öffnen nach dem download bestätigen" ist auch für den betreffenden Dateityp aktiviert?

IE ist egal, der verbietet mir den Download.

Gruß Jens

[Solution-Design]

Nö, bei Echsen fragt er. Da muß noch etwas anderes laufen.

Ewido? Deinstallier Ewido doch mal temporär.

[Gast_Jens1962_*]

Ewido? Deinstallier Ewido doch mal temporär.

Wieso sollte ich ausgerechnet das Programm deinstallieren, das bei dem Schädling anschlägt?

Was mich interessiert, läuft auf der Seite irgendein Script, ActiveX, BHO o.ä? Aus irgendeinem Grund muß schließlich der Opera installieren wollen (obwohl er sonst bei .exe permanent fragt, was er machen soll) und der IE den Download komplett untersagen.

Gruß Jens

[Solution-Design]

Wieso sollte ich ausgerechnet das Programm deinstallieren, das bei dem Schädling anschlägt?

Du darfst es ja behalten .

Aber hier, auf mehreren Windows-Installationen, lässt sich dieses Tool im IE sowie auch im Opera downloaden. Was liegt also näher...

[Gast_Jens1962_*]

Du darfst es ja behalten.

Dankeschön...

Aber hier, auf mehreren Windows-Installationen, lässt sich dieses Tool im IE sowie auch im Opera downloaden.

Mein IE will aber nicht.
Da Du das sowieso nicht glaubst:



Der unsichere IE läßt mich einfach nicht meinen Rechner zumüllen und der sooooo sichere Opera will nicht downloaden, obwohl das in den Optionen so steht, sondern direkt installieren.
Mein AV schläft derweil und dann kommt ein Wanderer des Wegs und sagt, ich solle den Wachhund, der seinen Job macht, erschießen. Hier is was loooooos.
Der Firefox, der letztens noch vor der Seite gewarnt hat, hält jetzt die Fresse und läßt mich downloaden, dafür sind bei dem Scan dieser Datei sowohl Norton als auch Ewido ruhig.
Hier verarscht mich doch wer?
Jotti meint:

Datei: ZCodec1000.exe
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: -

AntiVir Trojan/Drop.Zlob.acn gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Downloader.Zlob.DEZ gefunden
BitDefender Trojan.Downloader.Zlob.ZCO gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 a variant of Win32/TrojanDownloader.Zlob gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden

Nicht mal die Super-Russen wollen das kennen.
Ich denke, daß @bond Recht hat mit seiner These, daß die Dateien permanent ausgetauscht werden.
Bei Virustotal sieht es ähnlich verheerend aus:

AntiVir 7.1.1.16 09.09.2006 TR/Drop.Zlob.acn
Authentium 4.93.8 09.10.2006 no virus found
Avast 4.7.844.0 09.08.2006 no virus found
AVG 386 09.08.2006 Downloader.Zlob.DEZ
BitDefender 7.2 09.10.2006 Trojan.Downloader.Zlob.ZCO
CAT-QuickHeal 8.00 09.09.2006 no virus found
ClamAV devel-20060426 09.10.2006 no virus found
DrWeb 4.33 09.10.2006 no virus found
eTrust-InoculateIT 23.72.121 09.10.2006 no virus found
eTrust-Vet 30.3.3070 09.09.2006 no virus found
Ewido 4.0 09.10.2006 no virus found
Fortinet 2.77.0.0 09.10.2006 no virus found
F-Prot 3.16f 09.10.2006 no virus found
F-Prot4 4.2.1.29 09.10.2006 no virus found
Ikarus 0.2.65.0 09.08.2006 no virus found
Kaspersky 4.0.2.24 09.10.2006 Trojan.Win32.DNSChanger.en
McAfee 4848 09.08.2006 no virus found
Microsoft 1.1560 09.10.2006 no virus found
NOD32v2 1.1747 09.10.2006 a variant of Win32/TrojanDownloader.Zlob
Norman 5.90.23 09.08.2006 no virus found
Panda 9.0.0.4 09.10.2006 no virus found
Sophos 4.09.0 09.10.2006 no virus found
Symantec 8.0 09.10.2006 no virus found
TheHacker 5.9.8.208 09.08.2006 no virus found
UNA 1.83 09.08.2006 no virus found
VBA32 3.11.1 09.10.2006 no virus found
VirusBuster 4.3.7:9 09.10.2006 no virus found

mit dem Unterschied, daß KAV den hier bemerkt (seit vorgestern)...
Wie war das gleich noch mal mit der Qualität der Online-Scanner?

Gruß Jens

Der Beitrag wurde von Jens1962 bearbeitet: 10.09.2006, 23:52

[Solution-Design]

Was ist mit dem PC deiner Kleinen? Da wills auch nicht, downloaden meine ich? Sehr sehr seltsames Zugang zu die WEB du hast

[Gast_rock_*]

heute siehts schon anders aus:

aber nach der namensgebung (siehe bitdefender) schauts nach anderer version plötzlich aus! (2 tage unterschied der signatur)

bei jens: BitDefender 7.2 09.10.2006 Trojan.Downloader.Zlob.ZCO
und vor tagen und heute:
BitDefender 7.2 09.12.2006 MemScan:Trojan.Downloader.Zlob.VZ


AntiVir 7.1.1.16 09.11.2006 TR/Drop.Zlob.acn
Authentium 4.93.8 09.11.2006 no virus found
Avast 4.7.844.0 09.11.2006 no virus found
AVG 386 09.11.2006 Downloader.Zlob.DEZ
BitDefender 7.2 09.12.2006 MemScan:Trojan.Downloader.Zlob.VZ
CAT-QuickHeal 8.00 09.11.2006 no virus found
ClamAV devel-20060426 09.12.2006 no virus found
eTrust-InoculateIT 23.72.122 09.12.2006 Win32/DNSChanger.5ti!Trojan
eTrust-Vet 30.3.3071 09.11.2006 Win32/Alureon.BC
DrWeb 4.33 09.11.2006 no virus found
Ewido 4.0 09.11.2006 no virus found
Fortinet 2.77.0.0 09.11.2006 no virus found
F-Prot 3.16f 09.12.2006 no virus found
F-Prot4 4.2.1.29 09.11.2006 no virus found
Ikarus 0.2.65.0 09.11.2006 no virus found
Kaspersky 4.0.2.24 09.12.2006 Trojan.Win32.DNSChanger.er
McAfee 4849 09.11.2006 no virus found
Microsoft 1.1560 09.12.2006 no virus found
NOD32v2 1.1750 09.12.2006 a variant of Win32/TrojanDownloader.Zlob
Norman 5.80.02 09.11.2006 Zlob.PJT
Panda 9.0.0.4 09.11.2006 no virus found
Sophos 4.09.0 09.11.2006 no virus found
Symantec 8.0 09.12.2006 no virus found
TheHacker 5.9.8.209 09.11.2006 no virus found
UNA 1.83 09.11.2006 Trojan.Win32.DNSChanger.1A82
VBA32 3.11.1 09.12.2006 Trojan.Win32.DNSChanger.er
VirusBuster 4.3.7:9 09.11.2006 no virus found

und mc afee nennt es puper.dr (ED) , die haben mir wieder eine extra.dat geschickt.

warum tage vorher z.B. UNA und VBA den ZCodec.1000 bei vtotal erkannten und bei jens danach nimmer...ist echt witzig!



Der Beitrag wurde von rock bearbeitet: 12.09.2006, 06:45

[Gast_Jens1962_*]

Was ist mit dem PC deiner Kleinen? Da wills auch nicht, downloaden meine ich?

Wie denn? Da habe ich, faul wie ich bin, beim Einrichten meine Einstellungen draufgebraten.

warum tage vorher z.B. UNA und VBA den ZCodec.1000 bei vtotal erkannten und bei jens danach nimmer...ist echt witzig!

Zähle mal 1 und 1 zusammen. Ich meine, @raman war es, der geschrieben hat, daß auf dieser Seite auch ein zcodec1001, 1002, ... usw zu finden wären. Dann meinte @bond, daß da permanent die leicht modifizierten Dateien ausgetauscht und umbenannt werden könnten, so daß der Download immer "1000" heißt.


Gruß Jens

[Gast_rock_*]

tja....

[Rios]

Wieder neuer Codec.
http://www.pcwelt.de/news/sicherheit/57102/index.html

[Gast_rock_*]

schön das immer dabeisteht wo es das gibt....

onlinergebnisse schauen düster aus...

gleich der erste download, sv-codec-v4_01a.exe

AntiVir Trojan/Drop.Zlob.CJ.3 gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Downloader.Zlob.CH gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan-Downloader.Win32.Zlob.ajw gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VirusBuster Trojan.DL.Zlob.YK.Gen gefunden
VBA32 Keine Viren gefunden


Der Beitrag wurde von rock bearbeitet: 12.09.2006, 17:49

[Wildone]

Hallo,
vor drei Tagen gab es eine Version auf der Seite die kein einziges AV zu der Zeit erkannt hat.



Grüße Wildone

[Rios]

Das ist ein richtiges Katz und Maus Spiel.

[Gast_blueX_*]

raman sagte doch, dass diese Dateien nicht eingesandt werden müssen?
Warum nochmal?

[Gast_rock_*]

raman sagte doch, dass diese Dateien nicht eingesandt werden müssen?
Warum nochmal?

verzeih' ich finde die bitte in dem thema nicht.... nur dieses posting:

Wenn ihr meint diese Nsis "submitten" zu muessen, vergesset nicht die Dateien ZCodec1001.exe-ZCodec1200.exe auch mitzuschicken!

selbst hab ich garkeine solchen codecs eingesendet... ich habe ecodec, vcodec, zcodec (1x) und eine isecur.dll eingesendet.

alle codecs dieser auswahl haben unterschiedliche größen, unterschiedliche hersteller, (nehm ich mal an)... und die .dll ist eine datei aus dem lokale einstellugnen temp ordner wenn man den betreffenden codec installieren möchte.

einige hersteller haben zurückgesschrieben das sie erst kürzlich dabei waren diese samples einzupflegen...aber was sich nach dem ausführen ALLER genannten codecs ablegt und weitere malware ist, (zuminderst in einem getesteten fall) weis ja noch "keiner"...

also ich hab genug mit dem normalen einsenden, ich werd kaum viren starten um das dedroppte problem auch ncoh einzusenden auf dauer. da kann was schief gehen am rechner... wäre interssant ob es mit der software sandbox ie geht, also das sich die ableger was droppen, in der isolation sammeln würden.

aber das, leider, probiere ich sicher NICHT auf dem einzigen rechenr aus.

[Gast_Dylan_*]

Das Spiel geht weiter....

Datei: sv-codec-v4_01a.exe
Auslastung:
0% 100%
Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
UPX

AntiVir
Dropper/Zlob.Gen dropper gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VirusBuster
Trojan.DL.Zlob.YK.Gen gefunden
VBA32
Keine Viren gefunden

Hab die Datei an Kaspersky weitergeleitet.Rückmeldung von Kaspersky nach 10 Minuten.
Wird mit dem nächsten Update in die Signaturen aufgenommen.

Hab auf meinem Testsystem mal auf die exe Datei geklickt....au weia......

Ne,ne,nix au weia....die Proaktive Erkennung von KAV läßt ein Installieren nicht zu und stoppt den Schädling bevor er Schaden am System anrichten kann...

@ rock....hör auf bei Jotti zu scannen ich möchte auch nochmal drankommen....

[Gast_rock_*]

dylan, frag mich vorher wenn du was hochladest!

zuminderst hab ich sie einige postings ober dir nach der info von rios, gescannt:

gleich der erste download, sv-codec-v4_01a.exe und erstaunlicherweise nennt antivir die genau selbe datei von der selben downloadstelle, heute wieder anders.... (siehe dein, siehe mein log von sv-codec-v4_01a.exe )

und avg und kaspersky hätten sie auch gekannt!!! bei dir nimmer.... (?)!

und die codecs selbst kann man sich schon bald sparen, ich glaub die haben schon alle arten....

wie gesagt...interssant wäre was sich droppt, wie in dem einem fall die isecur.dll ...

und vielleicht erkennen die "austehenden" hersteller eben das was was sich erst anlegt wenn es zu spät ist, und der rechner wirklich verseucht ist. dummerweise hab ich die dll nimmer....kann passieren...

aber die erkennt auch kaum einer , aber dafür erkennen sie eTrust!

rock

Der Beitrag wurde von rock bearbeitet: 13.09.2006, 15:42

[Rios]

Hier auf dieser Seite sind einige verteiler. ( Stream Video Codec)
http://sunbeltblog.blogspot.com/

[Gast_blueX_*]

also ich hab genug mit dem normalen einsenden, ich werd kaum viren starten um das dedroppte problem auch ncoh einzusenden auf dauer. da kann was schief gehen am rechner... wäre interssant ob es mit der software sandbox ie geht, also das sich die ableger was droppen, in der isolation sammeln würden.

aber das, leider, probiere ich sicher NICHT auf dem einzigen rechenr aus.

Darum solltest du ja die Viren an virus (@) rokop-security.de schicken, weil die es dann machen werden.





Der Beitrag wurde von blueX bearbeitet: 16.09.2006, 12:36