Hallo alle zusammen!
Ich habe da ein kurioses Problem:
Heute habe ich auf insgesamt 5 Rechnern (Alle XP SP3) via "TrojanerHunter" in 2 Ordnern einen sog. Trojaner names "Bamital.206" gefunden. Und zwar in den folgenden Ordnern:



Also einmal in dem system32 Ordner und einmal im ServicePackFiles Ordner.

Das Kuriose ist, dass ich das gestern bei meiner Freundin, die Windows 7 hat, auch gefunden habe UND das kein anderes Viren- & Trojanerprogramm diese angeblichen Trojaner gefunden hat.

Ich habe diverse Programme nun auf jedem XP-PC laufen gelassen ( Avast, Avira, AV, Spybot, Malwarebyte etc. etc. ), doch keiner der Freeware Programme zeigte mir auch nur eine Abweichung an.

Was ist hier nun los auf all meinen Rechnern? Ist das nur ein Fehlalarm seitens des Programms oder habe ich mir unwissentlich ein Schadprogramm via USB Stick von Rechner zu Rechner getragen und das ist so neu oder speziell, dass nur ein Programm das erkennt?

Hoffe, Ihr wisst Rat!?

Viele Grüße

Troy

Nachtrag:

Alle Rechner sind auf dem neuesten Stand, geupdatet etc.!

Ich habe grad mal noch "Trojan Remover" ausprobiert.... der erkennt nix.

Also, kurioserweise nur "Trojan Hunter" erkennt diesen Bamital Trojaner.

Was soll ich nun davon halten?

Gruß

Weiß denn keiner Rat?

Oder bin ich falsch hier?

Gruß

Hallooooooo

Hallo und

Zitat:

Zitat von troymann

Hallooooooo

drängeln wird hier nicht sooo gern gesehen, außerdem hast ja sicherlich gelesen, dass das

Zitat:

Das Forum ist ein vielbesuchter Ort und es kann leider passieren, dass gelegentlich ein Thema übersehen wird.

Auf Grund der großen Anfrage kann es bis zu 3 Tagen dauern, bis sich jemand eures Themas annehmen kann.
Wer nach drei Tagen immer noch keine Antwort erhalten hat,
sollte noch einmal überprüfen, dass er die ersten 3 Punkte dieser Anleitung auch wirklich korrekt abgearbeitet hat.

Sind die notwendigen Angaben vorhanden, dann ist es an der Zeit, sich mit einer kurzen Problembeschreibung und vor allem einem Link zum Thema in folgendem Thread zu melden:
Erinnerung an meinen Thread

Dein Thema nicht pushen! Threads mit mehreren Antworten werden als "in Arbeit" angesehen und nicht mehr beachtet.

Die Themen aus dem Erinnerung an meinen Thread werden dann so bald wie möglich von jemanden übernommen.


Bitte keine OTL- Logs oder Ähnliches in diesen Thread posten! Direkte Hilfeanfragen in diesem Thread werden ignoriert, er dient nur der Sammlung von übersehenen Themen!

http://www.trojaner-board.de/69886-a...-beachten.html

Lass die beanstandeteten Dateien bitte mal hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die gesamten Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben oder verlinke auf die Auswertung,
bitte auch wenn nichts gefunden wurde.

MFG

Hi!

Das tut mir Leid, das habe ich nicht gelesen! Werde ich mir merken!

Also, habe die beiden Dateien bei Virus Total hochgeladen. Folgendes ist passiert:

Die Datei im System32 Ordner:

File name:
winlogon.exe
Submission date:
2011-02-10 09:30:33 (UTC)
Current status:
queued queued analysing finished
Result:
1/ 41 (2.4%)

VT Community

goodware
Safety score: 95.6%
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.02.06.00 2011.02.06 -
AntiVir 7.11.3.32 2011.02.09 -
Antiy-AVL 2.0.3.7 2011.02.10 -
Avast 4.8.1351.0 2011.02.09 -
Avast5 5.0.677.0 2011.02.09 -
AVG 10.0.0.1190 2011.02.09 -
BitDefender 7.2 2011.02.10 -
CAT-QuickHeal 11.00 2011.02.10 -
ClamAV 0.96.4.0 2011.02.10 -
Commtouch 5.2.11.5 2011.02.10 -
Comodo 7638 2011.02.10 -
DrWeb 5.0.2.03300 2011.02.10 -
eSafe 7.0.17.0 2011.02.09 -
eTrust-Vet 36.1.8151 2011.02.10 -
F-Prot 4.6.2.117 2011.02.04 -
F-Secure 9.0.16160.0 2011.02.10 -
Fortinet 4.2.254.0 2011.02.09 -
GData 21 2011.02.10 -
Ikarus T3.1.1.97.0 2011.02.10 -
Jiangmin 13.0.900 2011.02.10 -
K7AntiVirus 9.82.3806 2011.02.10 -
McAfee 5.400.0.1158 2011.02.10 -
McAfee-GW-Edition 2010.1C 2011.02.08 -
Microsoft 1.6502 2011.02.10 -
NOD32 5860 2011.02.09 -
Norman 6.07.03 2011.02.09 -
nProtect 2011-01-27.01 2011.02.02 Trojan-Downloader/W32.Small.513024
Panda 10.0.3.5 2011.02.09 -
PCTools 7.0.3.5 2011.02.09 -
Prevx 3.0 2011.02.10 -
Rising 23.44.02.05 2011.02.09 -
Sophos 4.61.0 2011.02.10 -
SUPERAntiSpyware 4.40.0.1006 2011.02.10 -
Symantec 20101.3.0.103 2011.02.10 -
TheHacker 6.7.0.1.126 2011.02.08 -
TrendMicro 9.200.0.1012 2011.02.10 -
TrendMicro-HouseCall 9.200.0.1012 2011.02.10 -
VBA32 3.12.14.3 2011.02.09 -
VIPRE 8368 2011.02.10 -
ViRobot 2011.2.10.4302 2011.02.10 -
VirusBuster 13.6.191.0 2011.02.09 -


Und die Datei im ServicePackFiles Ordner:

Antivirus Version Last Update Result
AhnLab-V3 2011.02.06.00 2011.02.06 -
AntiVir 7.11.3.32 2011.02.09 -
Antiy-AVL 2.0.3.7 2011.02.10 -
Avast 4.8.1351.0 2011.02.09 -
Avast5 5.0.677.0 2011.02.09 -
AVG 10.0.0.1190 2011.02.09 -
BitDefender 7.2 2011.02.10 -
CAT-QuickHeal 11.00 2011.02.10 -
ClamAV 0.96.4.0 2011.02.10 -
Commtouch 5.2.11.5 2011.02.10 -
Comodo 7638 2011.02.10 -
DrWeb 5.0.2.03300 2011.02.10 -
Emsisoft 5.1.0.2 2011.02.10 -
eSafe 7.0.17.0 2011.02.09 -
eTrust-Vet 36.1.8151 2011.02.10 -
F-Prot 4.6.2.117 2011.02.04 -
F-Secure 9.0.16160.0 2011.02.10 -
Fortinet 4.2.254.0 2011.02.09 -
GData 21 2011.02.10 -
Ikarus T3.1.1.97.0 2011.02.10 -
Jiangmin 13.0.900 2011.02.10 -
K7AntiVirus 9.82.3806 2011.02.10 -
Kaspersky 7.0.0.125 2011.02.10 -
McAfee 5.400.0.1158 2011.02.10 -
McAfee-GW-Edition 2010.1C 2011.02.08 -
Microsoft 1.6502 2011.02.10 -
NOD32 5860 2011.02.09 -
Norman 6.07.03 2011.02.09 -
nProtect 2011-01-27.01 2011.02.02 Trojan-Downloader/W32.Small.513024
Panda 10.0.3.5 2011.02.09 -
PCTools 7.0.3.5 2011.02.09 -
Prevx 3.0 2011.02.10 -
Rising 23.44.02.05 2011.02.09 -
Sophos 4.61.0 2011.02.10 -
SUPERAntiSpyware 4.40.0.1006 2011.02.10 -
Symantec 20101.3.0.103 2011.02.10 -
TheHacker 6.7.0.1.126 2011.02.08 -
TrendMicro 9.200.0.1012 2011.02.10 -
TrendMicro-HouseCall 9.200.0.1012 2011.02.10 -
VBA32 3.12.14.3 2011.02.09 -
VIPRE 8368 2011.02.10 -
ViRobot 2011.2.10.4302 2011.02.10 -
VirusBuster 13.6.191.0 2011.02.09 -


Also exakt dasselbe Ergebnis.

Was sagt mir das jetzt? Wie bei Wer wird Millionär, wenn die das Publikum,
also die Mehrheit für was abgestimmt hat, dann stimmt es in der Regel, oder
sollte ich misstrauisch sein und dem "nProtect" glauben und etwas gegen
den angeblichen Trojaner tun?

Kann ich beide winlogon Dateien durch andere ersetzen? Von der Original-CD
oder ist die sonst noch wo auf dem Rechner?

Eiei.... herzlichen Dank schon mal für die Hilfe!!!


Gruß

Hallo

lade die Dateien bitte mal hier hoch
Submit your sample
als verdächtige Datei.
Poste bitte das Ergebnis hierher.

MFG

Jetzt gehts aber schnell :-)

Also, hab die Dateien grad noch bei virscan.org hochgeladen:


Scan Ergebnis
Scan Ergebnis : 5% der Scanner (2/37) haben Malware gefunden!
Zeit : 2011/02/10 10:53:30 (CET)
Scanner ↓ Engine Ver Sig Ver Sig Datum Scan Ergebnis Zeit
a-squared 5.1.0.2 20110209020254 2011-02-09
-
25.453
AhnLab V3 2011.02.10.00 2011.02.10 2011-02-10
-
14.784
AntiVir 8.2.4.162 7.11.3.32 2011-02-09
-
0.280
Antiy 2.0.18 2.0.18. 0002-18-00
-
0.017
Arcavir 2010 201102101457 2011-02-10
-
0.163
Authentium 5.1.1 201102100120 2011-02-10
W32/Swizzor-based.2!Maximus (Heuristic)
2.656
AVAST! 4.7.4 110209-1 2011-02-09
-
0.039
AVG 8.5.850 271.1.1/3433 2011-02-10
-
0.291
BitDefender 7.90123.6727214 7.36167 2011-02-10
-
6.646
ClamAV 0.96.5 12654 2011-02-10
-
0.126
Comodo 4.0 7638 2011-02-10
-
3.080
CP Secure 1.3.0.5 2011.02.09 2011-02-09
-
0.056
Dr.Web 5.0.2.3300 2011.02.10 2011-02-10
-
13.908
F-Prot 4.4.4.56 20110209 2011-02-09
Possible W32/Swizzor-based.2!Maximus
8.296
F-Secure 7.02.73807 2011.02.10.01 2011-02-10
-
16.089
Fortinet 4.2.254 12.878 2011-02-09
-
9.915
GData 21.1761/21.677 20110210 2011-02-10
-
40.156
Ikarus T3.1.32.15.0 2011.02.10.77704 2011-02-10
-
6.971
JiangMin 13.0.900 2011.02.10 2011-02-10
-
20.642
Kaspersky 5.5.10 2011.02.09 2011-02-09
-
0.701
KingSoft 2009.2.5.15 2011.2.10.11 2011-02-10
-
4.392
McAfee 5400.1158 6252 2011-02-09
-
16.839
Microsoft 1.6502 2011.02.10 2011-02-10
-
13.299
NOD32 3.0.21 5856 2011-02-08
-
0.005
Norman 6.06.12 6.06.00 2011-01-18
-
22.039
nProtect 20110209.01 3138159 2011-02-09
-
40.150
Panda 9.05.01 2011.02.09 2011-02-09
-
40.331
Quick Heal 11.00 2011.02.10 2011-02-10
-
40.136
Rising 20.0 23.44.02.05 2011-02-09
-
40.131
Sophos 3.16.1 4.62 2011-02-10
-
3.085
Sunbelt 3.9.2474.2 8367 2011-02-09
-
40.152
Symantec 1.3.0.24 20110209.002 2011-02-09
-
0.082
The Hacker 6.7.0.1 v00126 2011-02-08
-
40.129
Trend Micro 9.200-1012 7.828.06 2011-02-09
-
0.041
VBA32 3.12.14.3 20110209.1149 2011-02-09
-
4.248
ViRobot 20110209 2011.02.09 2011-02-09
-
3.586
VirusBuster 5.2.0.28 13.6.191.0/4463626 2011-02-09
-
0.002

.... also 2 Ergebnisse!


Avira sagte mir das hier zu beiden Dateien:

Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:
Datei ID Dateiname Größe (Byte) Ergebnis
4248497 winlogon.exe 501 KB KNOWN CLEAN

Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
Dateiname Ergebnis
winlogon.exe KNOWN CLEAN

Die Datei 'winlogon.exe' wurde als 'KNOWN CLEAN' eingestuft. Dies bedeutet, dass wir keine gefährlichen Inhalte finden konnten. Weiterhin haben wir festgestellt, dass diese Datei ein Bestandteil von 'Microsoft Windows XP (SP3) ' ist.


Und nun?

Zusammengefasst habe ich nun in 2 winlogon - Dateien folgende Viren/Trojaner lt.
der oben genannten Testprogramme:


- Trojaner Bamital.206
- Trojan-Downloader/W32.Small.513024
- W32/Swizzor-based.2!Maximus (Heuristic)


.... wenn ich das richtig verstanden habe. Was kann ich nun tun?

Jooti findet im Übrigen keine Trojaner / Viren:

hxxp://virusscan.jotti.org/de/scanresult/5a458fc08625086f251a5d55b24e0a78cefe4db5/abe47dd77469ce0f489c8a2ce70fab914e6d3684


Achja, zu dem 1. Post:

Die Winlogon - Datei ist 501 kb groß und "wurde geändert"
am 14.04.2008.

Gruß + DANKE

Hallo

am Ende (klick auf show all) der Auswertung bei Virustotal wurde etwas angezeigt wie

Zitat:

Additional information
Show all
MD5 : 80b12176b1adb526a781a80d18a7878c
SHA1 : 9ffaf490f511a5e5068804c8baa2d68ebb3a1306
SHA256: fd09368dbae9961ecc240de60c7806d0a7d3756a8e8a014846b740411c8d3e17
ssdeep: 384:WSOFc7YA/zcOFchfPwyWYiJS3eWWqBOFc:WZFmYAzDF4uWWqYF
File size : 40960 bytes
First seen: 2008-11-29 21:34:20
Last seen : 2011-02-03 13:42:38
Magic: PE32 executable for MS Windows (GUI) Intel 80386 32-bit
TrID:
49.9% (.EXE) Generic Win/DOS Executable (2002/3)
49.8% (.EXE) DOS Executable Generic (2000/1)
0.1% (.CEL) Autodesk FLIC Image File (extensions: flc, fli, cel) (7/3)
sigcheck:
publisher....: Benq Corporation
copyright....: n/a
product......: i key utility
description..: n/a
original name: Auto.exe
internal name: Auto
file version.: 1.00
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

usw.

diese Informationen möchte ich gern sehen.

MFG

So, jetzt hab ich alles nochmal ganz genau unter die Lupe genommen:

Das Problem mit dem Bamital Trojaner hab ich auf allen XP Rechnern, nicht aber auf den Windows 7 Rechnern.

Die Fehlermeldung kommt auch nur bei dem Programm TrojanHunter. Wenn man den Programmnamen mit Bamital googelt, kommen auch viele Ergebnisse anderer User, nur eine gute Lösung dazu will ich einfach nicht finden :-(

Die Ergbnisse bei VirusTotal sind auch immerzu gleich....

Hier der fehlende Teil ( tschuldige mein Versäumnis :-) ):

1 VT Community user(s) with a total of 195 reputation credit(s) say(s) this sample is goodware. 1 VT Community user(s) with a total of 9 reputation credit(s) say(s) this sample is malware.
File name:
winlogon.exe
Submission date:
2011-02-10 17:20:03 (UTC)
Current status:
queued queued analysing finished
Result:
1/ 43 (2.3%)
............
Additional information
Show all
MD5 : f09a527b422e25c478e38caa0e44417a
SHA1 : b180bed1bca42ae4cef259697c3d21320026752b
SHA256: 8e4d860c5c753b657a1bcb42579556e582cbdaabf07eae59f81519ac6997accb
VT Community
2
User:
home">SETI@home
Reputation:
195 credits
Comment date:
2010-08-13 17:37:10 (UTC)
Tags: Goodware,
Was this comment helpful? Yes (3) | No (1) | Report abuse Reported as abuseful
User:
Jumbo12
Reputation:
9 credits
Comment date:
2010-12-29 10:26:59 (UTC)
This Software install a Trojan Horse in the Systemfolders don´t activate it!
Tags: Malware, NetworkWorm, small, 513024
Was this comment helpful? Yes (2) | No (0) | Report abuse

Hoffe, meine Ausführungen sagen Euch etwas bzw. Ihr könnt mir nun sagen, was los ist.... vielleicht liegts nur an dem Programm Trojanhunter?

Aber was ist dann mit dem Ergbniss von VirusTotal, wo zumindest der nprotect Scan mir sagt:

nProtect 2011-01-27.01 2011.02.02 Trojan-Downloader/W32.Small.513024

... ich also wohl noch einen Trojaner habe?

Hilfe :-)

Hallo

also ich halte die Meldung für einen Fehlalarm, da die MD5 sowie auch die Größe der Datei stimmen.
NProtect ist meiner Meinung nach nicht unbedingt eine Referenz ....
Warte mal einige Updates von "TrojanerHunter" ab, meist dauert es nicht lange und die Falschmeldung werden behoben.
Berichte die nächsten Tage nochmal.

MFG

Hallo!
Dank Dir für die schnelle Antwort!
Ok, ich hab grad den Fall mal an den Entwickler von TrojanHunter geschickt. Mal seh'n, ob die mir antworten. Sitzen wohl in England.
Also, dann warte ich mal ab :-)
Viele Grüße sendet Dir / Euch und es dankt allen, die mir geholfen haben
troy

Tja... einmal hat man bis dato reagiert, einen Tag nachdem ich die Firma angeschrieben habe. Die wollten die Original winlogon Datei. Gesagt, getan. Bis dato habe ich nix mehr von denen gehört... auch nachdem ich mittlerweile 2 Mal nachgefasst habe. Seltsam...