Trojaner-Board - Total verseucht

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Total verseucht (https://www.trojaner-board.de/10426-total-verseucht.html)

Verehrte Trojaner-Jäger,

das Thema, das ich posten will ist schon ziemlich alt. Doch leider bekomme ich die Trojaner, Viren, Miststücke nicht von meinem PC.
Habe hijackthis, CWshredder, Spybot, SpywareBlaster und SpywareGuard auf meiner Kiste laufen. Trotzdem krieg ich diese Mistfinken nicht los. Wäre also über eine Hilfe von Euch van Helsings sehr dankbar.

Problem No1:
Spywareguard öffnet mir permanent folgendes Fenster:

An attempt to change Internet Explorer settings has been detected.
WARNING! A BHO (Browser Help Object) has been added!
The following BHO has been added to your system
(9041DC7F-A546-4FA4-2F1E-B74E22A722FE)

ProgID: n/a
File Location: C:\WINDOWS\system32\mfcmp.dll

What would you like to do?
Remove the BHO Keep the BHO

BHO Registry entries removed for (o.g. Nummer)

Problem No2:
Ich poste Euch hier mal meine HijackThis-Auwertung

Logfile of HijackThis v1.98.2
Scan saved at 10:38:20, on 05.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\javavq32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\msyy32.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe
C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\FRU\Remind32.exe
C:\Programme\SpywareGuard\sgmain.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\SpywareGuard\sgbhp.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Adobe\Photoshop CS\Photoshop.exe
C:\DOKUME~1\Computer\LOKALE~1\Temp\~e5d141.tmp
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Computer\Desktop\Antivirenprogramme\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bedkz.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bedkz.dll/sp.html#29126
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\bedkz.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bedkz.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bedkz.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\zbyvv.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\zbyvv.dll/sp.html#29126
R3 - Default URLSearchHook is missing
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [msyy32.exe] C:\WINDOWS\msyy32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: Produktumfrage von Hewlett-Packard.lnk = C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\FRU\Remind32.exe
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HPAiODevice(hp psc 900 series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6022CBAC-DE8F-4F2F-A7CB-6B90FE69773E}: NameServer = 62.104.191.241 62.104.196.134
O17 - HKLM\System\CS1\Services\Tcpip\..\{6022CBAC-DE8F-4F2F-A7CB-6B90FE69773E}: NameServer = 62.104.191.241 62.104.196.134

Vielen Dank mal im voraus
Der Picknicker

Hallo,
wenn Dir spywareguard anbietet, den BHO zu entfernen, dann mach es doch.
Außerdem mit HJT im abgesicherten Modus folgende fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bedkz.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bedkz.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\bedkz.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bedkz.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bedkz.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\zbyvv.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\zbyvv.dll/sp.html#29126
R3 - Default URLSearchHook is missing

Außerdem bei Jotti folgende Online scannen lassen:
C:\WINDOWS\javavq32.exe
C:\WINDOWS\msyy32.exe

Bitte berichte das Ergebnis und stelle ein neues HJT-Logfile rein.

Hey cacatoa,

ich bin nicht der erfahrenste Anwender. Wenn mir der Spywareguard empfiehlt den BHO zu löschen, mache ich das dann manuell, also vom Explorer in den Papierkorb?

Und der Jotti, ist der kostenpflichtig?

Früher, als ich unerfahrener war als heute.....

Vielen Dank
Picknicker

hi
nee der kost nix, nur etwas zeit :D

kannst aber auch den http://www.virustotal.com/flash/index_en.html , oder den http://www.kaspersky.com/de/remoteviruschk.html verwenden, nur das ergebnis hier zurückmelden ;)

SpywareGuard fragt dich:
Remove the BHO Keep the BHO
Dann geh auf Remove.
Jotti ist ein kostenloser Onlinescanner, der aus mehreren bekannten Scannern besteht.

@ passat
warst schneller!http://www.smiley-channel.de/grafike...technik019.gif

Hallo Helfer und Helfershelfer,

die SpyWareGuard-Meldung habe ich ca. schon 873 mal bestätigt. Hilft nix! Ich werde jetzt mit der F8-Methode versuchen, meine Mühle im abgesicherten Modus zu starten.

Wie ihr seht ist hier mal ein absolutes Greenhorn hinter der Tastatur. Aber ich gebe nicht auf und weiß mich in erfahrenen Händen.

Danke nochmals
Picknicker

hi

ist das schon weg?
sp.html#29126

Ich werde gleich wahnsinnig. Mit F8 bekomme ich die Mühle nicht im abgesicherten Modus gestartet. Gibt's da noch eine andere Möglichkeit.
Mensch, Mensch, Mensch. Wenn das irgendwann mal klappt gehen wir ein Bier trinken.....

Der 29126er ist noch nicht weg.

Hallo Retter,

dies sind die weiteren Reports:

Mile Gracie

Sagt, wie schlimm ist es?

Server response

--------------------------------------------------------------------------------

Results of a file scan
This is the report of the scanning done over "javavq32.exe" file that VirusTotal processed on 12/05/2004 at 23:43:59.
Antivirus Version Update Result
AntiVir 6.28.0.12 12.03.2004 -
BitDefender 7.0 12.05.2004 Trojan.Downloader.Agent.BQ
ClamWin devel-20041018 12.05.2004 -
DrWeb 4.32b 12.05.2004 BackDoor.Sip
eTrust-Iris 7.1.194.0 12.05.2004 -
eTrust-Vet 11.7.0.0 12.05.2004 -
F-Prot 3.15b 12.03.2004 security risk named W32/SillyTrojan.BD@bd
Kaspersky 4.0.2.24 12.05.2004 Trojan-Downloader.Win32.Agent.bq
NOD32v2 1.940 12.05.2004 Win32/Agent.BQ
Norman 5.70.10 12.03.2004 -
Panda 7.02.00 12.05.2004 Adware/SearchAid
Sybari 7.5.1314 12.05.2004 BackDoor-BDD
Symantec 8.0 12.05.2004 -

Server response

--------------------------------------------------------------------------------

Results of a file scan
This is the report of the scanning done over "msyy32.exe" file that VirusTotal processed on 12/05/2004 at 23:46:13.
Antivirus Version Update Result
AntiVir 6.28.0.12 12.03.2004 -
BitDefender 7.0 12.05.2004 Trojan.Downloader.Agent.AP
ClamWin devel-20041018 12.05.2004 Trojan.Downloader.Agent-23
DrWeb 4.32b 12.05.2004 Trojan.DownLoader.1077
eTrust-Iris 7.1.194.0 12.05.2004 -
eTrust-Vet 11.7.0.0 12.05.2004 -
F-Prot 3.15b 12.03.2004 -
Kaspersky 4.0.2.24 12.05.2004 Trojan-Downloader.Win32.Agent.ap
NOD32v2 1.940 12.05.2004 Win32/TrojanDownloader.Agent.NAV
Norman 5.70.10 12.03.2004 W32/Agent.AP
Panda 7.02.00 12.05.2004 Adware/SearchAid
Sybari 7.5.1314 12.05.2004 BackDoor-BDD
Symantec 8.0 12.05.2004 -

Hallo,

gib unter Start->Ausführen->MSConfig ein, beim Register "BOOT.INI" machst du du bei /Safeboot ein Haken. Dass ganze übernehmen und OK drücken. Du musst mit Administrator-Rechten angemeldet sein.

Habe jetzt mal die gestrigen Anweisungen von cacatoa (12:22) durchgeführt. Die Probleme sind allerdings alle noch da.
Das ist der neuste HJT-Report.

Logfile of HijackThis v1.98.2
Scan saved at 00:07:50, on 06.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\javavq32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe
C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\FRU\Remind32.exe
C:\Programme\SpywareGuard\sgmain.exe
C:\Programme\SpywareGuard\sgbhp.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\msyy32.exe
C:\Dokumente und Einstellungen\Computer\Desktop\Antivirenprogramme\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bedkz.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bedkz.dll/sp.html#29126
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\bedkz.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bedkz.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bedkz.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\sfsib.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\sfsib.dll/sp.html#29126
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {9041DC7F-A546-4FA4-2F1E-B74E22A722FE} - C:\WINDOWS\system32\mfcmp.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [msyy32.exe] C:\WINDOWS\msyy32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: Produktumfrage von Hewlett-Packard.lnk = C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\FRU\Remind32.exe
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HPAiODevice(hp psc 900 series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6022CBAC-DE8F-4F2F-A7CB-6B90FE69773E}: NameServer = 62.104.191.241 62.104.196.134
O17 - HKLM\System\CS1\Services\Tcpip\..\{6022CBAC-DE8F-4F2F-A7CB-6B90FE69773E}: NameServer = 62.104.191.241 62.104.196.134

@ Picknicker

--> sende bitte diese Dateien

C:\WINDOWS\javavq32.exe
C:\WINDOWS\msyy32.exe

passwortgeschützt (mit Angabe des Passworts in der Mail) an partytime-germany.ice@web.de und virus@hijackthis.de, mit Hinweis auf diesen Thread - zu Forschungszwecken.

--> Platform: Windows XP SP1 (WinNT 5.01.2600) - lade Dir das aktuelle Service Pack runter: www.windowsupdate.com

--> Überprüfe mit virusscan.jotti.dhs.org:

C:\WINDOWS\system32\mfcmp.dll

teile uns das Ergebnis der Überprüfung mit.

--> Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bedkz.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bedkz.dll/sp.html#29126

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\bedkz.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bedkz.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bedkz.dll/sp.html#29126

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\zbyvv.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\zbyvv.dll/sp.html#29126
R3 - Default URLSearchHook is missing

boote in den normalen Modus.
Aktiviere die Systemwiederherstellung.

--> Erstelle ein weiteres Hijack This Logfile und poste es.

SD

hi

http://www.hsremove.com/ --> damit sollte man die sp.html#29126 eliminieren können, den rest nach sd anleitung bearbeiten
:aplaus:

@shadowdance
dies ist das Ergebnis von jotti

Service load: 0% 100%

File: mfcmp.dll
Status: INFECTED/MALWARE
Packers detected: UPX

AntiVir No viruses found (0.15 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender Trojan.Downloader.Agent.AP (0.34 seconds taken)
ClamAV Trojan.Downloader.Agent.AC (0.35 seconds taken)
Dr.Web Trojan.DownLoader.1029 (0.51 seconds taken)
F-Prot Antivirus W32/Agent.GL@dl (0.06 seconds taken)
Kaspersky Anti-Virus Trojan-Downloader.Win32.Agent.ap (0.61 seconds taken)
mks_vir Trojan.Downloader.Agent.Ap (0.20 seconds taken)
NOD32 No viruses found (0.42 seconds taken)
Norman Virus Control No viruses found (0.12 seconds taken)

Statistics
Last piece of malware found was Backdoor.Win32.Rbot.gen in newrbotmbox.exe, detected by:

Scanner Malware name Time taken
AntiVir X 0.51 seconds
Avast X 3.21 seconds
BitDefender Backdoor.RBot.Gen 3.30 seconds
ClamAV X 0.31 seconds
Dr.Web X 0.62 seconds
F-Prot Antivirus X 0.07 seconds
Kaspersky Anti-Virus Backdoor.Win32.Rbot.gen 0.99 seconds
mks_vir X 0.22 seconds
NOD32 X 1.66 seconds
Norman Virus Control X 4.22 seconds

Service statistics:

16241 files (11567 of those unique) have been uploaded & scanned since 05/11/2004, the day of the last database purge.
3378 of those 11567 files contained a virus or any other form of malware.
This page has been visited 36713 times in this time period.
This service managed to spot 189 pieces of malware no vendor used knew about at the time of uploading.
The service also warned against 1547 suspicious files without any help from scanner results.
However, 159 files reported to be OK were found out to be malware later (this is checked daily).
As far as can be told, all this together makes this service 98.63% accurate. However, since it is very well possible malware has been uploaded no scanner knows about at this time, this number is to be taken with a proper amount of skepticism.
Most popular malware:

Rank Malware name Uploaded Last known filename
1 behaveslike:trojan.downloader 223 times ied_s7m.cab
2 backdoor.sdbot.gen 207 times win32nls.exe
3 backdoor.agobot.3.gen 139 times cp2.exe
4 tr/drop.delf.fd.1 136 times Keygen.exe
5 bds/beastdoor.205.d 87 times cat3.dll
6 backdoor.rbot.gen 82 times newrbotmbox.exe
7 tr/spam.avafx 81 times vbsys.dll_old
8 win32:trojan-gen. {other} 55 times CMESys.exe
9 backdoor.win32.agobot.gen 52 times agobot9.exe
10 tr/dldr.inservice.i 49 times Lake_PLS_with_Dolby_Headphone_Plugin_v1.00.0030.zip
11 win32:trojan-gen. 40 times cmesys.exe
12 behaveslike:win32.av-killer 39 times test1.dll
13 win32.p2p.spybot.gen 37 times Spools.zip
14 tr/dldr.small.uv.3 34 times s1p1y.exe
15 win32:spybot-gen 33 times ddd.dll