Trojaner-Board - png777fh.dll' enthielt TR/Spy.585728.35[trojan]

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - png777fh.dll' enthielt TR/Spy.585728.35[trojan] (https://www.trojaner-board.de/89298-png777fh-dll-enthielt-tr-spy-585728-35-trojan.html)

Okay, habe Antivir Guard deaktiviert, weil sie sonst sofort weg ist. Scheint doch was ernstes zu sein:

Code:

File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:

MD5:        c426d7aca22528bdb4e1d8cdb309d923

Date first seen:        2010-08-04 10:24:57 (UTC)

Date last seen:        2010-08-04 10:24:57 (UTC)

Detection ratio:        3/42
 

What do you wish to do? 
 
 

Antivirus          Version          Last Update          Result

AhnLab-V3        2010.08.12.00        2010.08.11        Trojan/Win32.Agent2

AntiVir        8.2.4.34        2010.08.12        TR/Spy.585728.35

Antiy-AVL        2.0.3.7        2010.08.11        -

Authentium        5.2.0.5        2010.08.12        -

Avast        4.8.1351.0        2010.08.11        Win32:Malware-gen

Avast5        5.0.332.0        2010.08.11        Win32:Malware-gen

AVG        9.0.0.851        2010.08.11        -

BitDefender        7.2        2010.08.12        -

CAT-QuickHeal        11.00        2010.08.12        -

ClamAV        0.96.0.3-git        2010.08.12        -

Comodo        5714        2010.08.11        -

DrWeb        5.0.2.03300        2010.08.12        -

Emsisoft        5.0.0.37        2010.08.12        Gen.Trojan!IK

eSafe        7.0.17.0        2010.08.11        -

eTrust-Vet        36.1.7784        2010.08.12        -

F-Prot        4.6.1.107        2010.08.12        -

F-Secure        9.0.15370.0        2010.08.12        -

Fortinet        4.1.143.0        2010.08.11        -

GData        21        2010.08.12        Win32:Malware-gen

Ikarus        T3.1.1.88.0        2010.08.12        Gen.Trojan

Jiangmin        13.0.900        2010.08.12        -

Kaspersky        7.0.0.125        2010.08.12        Trojan.Win32.Agent2.cudu

McAfee        5.400.0.1158        2010.08.12        Artemis!C426D7ACA225

McAfee-GW-Edition        2010.1        2010.08.12        Artemis!C426D7ACA225

Microsoft        1.6004        2010.08.12        -

NOD32        5358        2010.08.11        -

Norman        6.05.11        2010.08.12        -

nProtect        2010-08-12.03        2010.08.12        -

Panda        10.0.2.7        2010.08.11        Trj/CI.A

PCTools        7.0.3.5        2010.08.12        -

Prevx        3.0        2010.08.12        -

Rising        22.60.03.04        2010.08.12        Trojan.Win32.Generic.5223ED6D

Sophos        4.56.0        2010.08.12        Troj/Agent-OFC

Sunbelt        6721        2010.08.12        -

SUPERAntiSpyware        4.40.0.1006        2010.08.12        -

Symantec        20101.1.1.7        2010.08.12        -

TheHacker        6.5.2.1.343        2010.08.11        Trojan/Agent2.cudu

TrendMicro        9.120.0.1004        2010.08.12        -

TrendMicro-HouseCall        9.120.0.1004        2010.08.12        -

VBA32        3.12.14.0        2010.08.11        -

ViRobot        2010.8.9.3978        2010.08.12        -

VirusBuster        5.0.27.0        2010.08.11        -

hast du auf reanalyse geklickt? wenn nein, mach das bitte mal und poste das neue ergebniss

Ja, das ist das Ergebnis der Reanalyse.

Grüße
Julius

Avira AntiVir Rescue System
versuch mal die avira rescue disk zu brennen und scanne damit das system, funde löschen, und pc neu starten. das sollte eig klappen

Ich bin jetzt ein bißchen durcheinander. Antivir meldet nix mehr. Da hab ich die Datei extra nochmal untersuchen lassen: wieder nichts. Und bei Virustotal ist die Datei jetzt auch sauber.

Wie kann sowas sein? Sollte ich weiter misstrauisch sein?

In jedem Falle werde ich dieses rescue-system mal durchlaufen lassen.

Ansonsten: Herzlichen Dank bis hierher. Ihr Jungs hier macht wirklich einen tollen Job!

ok schauen wir mal was rescue cd sagt

Rescue CD sagt dass es auf meinem Rechner 38 Würmer und Trojaner gibt. Die sind aber alle im Spam-Ordner von Thunderbird und der, den Antivir gemeldet hat, ist nicht dabei. Darüber hinaus nichts gefunden. Wie ich den Report von Linux nach Windows bekomme, wusste ich nicht. Ansonsten habe ich die png777fh.dll nochmal untersucht und nichts festgestellt. Komisch ist, dass das Änderungsdatum immer noch das gleiche ist (04.05.10) und dass sich die Datei immer wieder reproduziert, wenn sie gelöscht wurde. Eine Windows-Systemdatei scheint es auch nicht zu sein.

Ist das System jetzt halbwegs sicher?

Grüße
Julius

kannst du mal die datei zu uns hochladen?
http://www.trojaner-board.de/54791-a...ner-board.html
ich frag mal bei avira, ob sie für die datei nen fehlalarm entfernt haben oder was da los ist.

Habs hochgeladen. Ich denke aber eher dass die Datei jetzt eine andere ist. Bei Virustotal haben ein Drittel der Scanner angeschlagen und jetzt kein einziger mehr. - Frag mich warum.... Ich verstehe das auch nicht. Vielleicht wurde die Datei immer wieder durch ein drittes Programm neu erzeugt und irgendein Scanner hat aus diesem Programm den Trojaner-Code gelöscht...

Grüße
Julius

ok warten wir mal ab ob avira noch mal anschlägt