Trojaner-Board - Kaspersky findet Trojaner, Malwarebytes aber nicht

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Kaspersky findet Trojaner, Malwarebytes aber nicht - löschen unmöglich! (https://www.trojaner-board.de/91492-kaspersky-findet-trojaner-malwarebytes-loeschen-unmoeglich.html)

Kaspersky findet Trojaner, Malwarebytes aber nicht - löschen unmöglich!

Hallo zusammen!

Ich hoffe, Euer Forum kann mir helfen.

Ich habe den Kaspersky Internet Security 2011 installiert, der mir seit neuestem einige Malware-Bedrohungen anzeigt. Zwei davon, es handelt sich um "Trojan.Win32.AntiAV", haben die Bedrohungsstufe "hoch", aber ich kann den Kaspersky nicht dazu bringen, die Dinger zu desinfizieren :( Ich habe herausbekommen, dass die Datei im "ProgramFiles"-Ordner auf dem Laufwerk C sitzt.

Ein Besuch hier im Forum brachte als Hinweis, ich solle mal das Programm von Malwarebytes installieren und laufen lassen. Das habe ich gemacht.

Hier ein Log von gerade eben (Quick-Scan):
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4747

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943

05.10.2010 18:40:13
mbam-log-2010-10-05 (18-40-13).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 151915
Laufzeit: 14 Minute(n), 39 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Ich finde es ungewöhnlich, daß Malwarebytes gar nichts findet. Ein kompletter Scan ist ebenfalls über den Ordner hinweggerutscht, in dem ich laut Kaspersky die Trojaner haben sollte.
Das Programm SpyHunter habe ich ebenfalls installiert und laufen lassen, der findet 67 Bedrohungen, aber keine mit dem Namen das Trojaners.

Was tun?! :confused:

Sorry für Push, aber

hat niemand einen Lösungsansatz für mich?

Braucht Ihr noch mehr Informationen?

Ich habe jetzt außerdem noch den SpyBot laufen lassen und einiger Bedrohungen entfernt. Der Trojaner aber ist nachwievor da.

Hi,

was wird wo gefunden?

Öffne Kapi, rechts oben Berichte, im sich öffnenden Fenster "Erkannte Bedrohungen", aufklappen und dort dann unter "Objekt"... Kannst auch über das Diskettensymbol speichern und dann hier posten...

chris

Ich habe insgesamt sieben Bedrohungen, davon die beiden Trojaner mit Einstufung "hoch".

Einen Bericht von Kaspersky habe ich erstellt und eingefügt.

Gefunden (7)
06.10.2010 09:38:27 Gefunden legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen HiddenObject.Multi.Generic C:\ProgramData:$SS_DESCRIPTOR_LVVWVBGV0VFBTLX4D06YH7LVUTPXGJMBKE1R0WT1VH7E24F7PHCTVF4VMVFVVX4VM Mittel
28.07.2010 23:38:48 Gefunden legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen HiddenObject.Multi.Generic C:\Documents and Settings\All Users:$SS_DESCRIPTOR_LVVWVBGV0VFBTLX4D06YH7LVUTPXGJMBKE1R0WT1VH7E24F7PHCTVF4VMVFVVX4VM Mittel
29.07.2010 20:27:29 Gefunden legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen HiddenObject.Multi.Generic C:\Users\All Users:$SS_DESCRIPTOR_LVVWVBGV0VFBTLX4D06YH7LVUTPXGJMBKE1R0WT1VH7E24F7PHCTVF4VMVFVVX4VM Mittel
07.08.2010 16:59:42 Gefunden legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen HiddenObject.Multi.Generic C:\Dokumente und Einstellungen\All Users:$SS_DESCRIPTOR_LVVWVBGV0VFBTLX4D06YH7LVUTPXGJMBKE1R0WT1VH7E24F7PHCTVF4VMVFVVX4VM Mittel
06.10.2010 09:38:27 Gefunden legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen HiddenObject.Multi.Generic C:\ProgramData\SEGA Corporation\Alpha Protocol:$SS_DESCRIPTOR_LVVWVBGV0VFBTLX4D06YH7LVUTPXGJMBKE1R0WT1VH7E24F7PHCTVF4VMVFVVX4VM Mittel
06.10.2010 09:38:27 Gefunden trojanisches Programm Trojan.Win32.AntiAV.had C:\Program Files\Common Files\Vbox\Common\vboxat.dll Hoch
06.10.2010 09:38:27 Gefunden trojanisches Programm Trojan.Win32.AntiAV.haf C:\Program Files\Common Files\Vbox\Common\vboxtb.dll Hoch

Hi,

Bitte folgende Files prüfen (f/p check):

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

C:\Program Files\Common Files\Vbox\Common\vboxat.dll

C:\Program Files\Common Files\Vbox\Common\vboxtb.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe

Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

Unter Extra Registry, wähle bitte Use SafeList

Klicke nun auf Run Scan links oben

Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

Poste die Logfiles hier in den Thread

chris

Sehr gut, vielen Dank! Ich werde das gleich durchführen.

Erste frage aber schon: bei der Online-Überprüfung durch Virustotal bekomme ich wahnsinnig viele Ergebnisse, alles User Reports. Sind die mit dem Ergebnis gemeint? Oder wo finde ich das, was Ihr benötigt?

Als Beispiel die ersten fünf Ergebnisse, die Liste ist aber sehr lang:

User:BugBopperGuy
Reputation: 449 credits
Comment date: 2010-09-20 03:42:13 (UTC)
BugBopper identifies this file as Virus.DOS.Internal.1381 More info: hxxp://BugBopper.com/MalwareInfo/MD5/93/932d8fa318d3e00222553e8df5a22c4e.asp
Tags: internal, 1381, common
d9f90fed7999165ecd1e263a479f9da582836e6c4779eae15019f48718c7bcd6
Was this comment helpful? Yes (0) | No (0) | Report abuse

User:BugBopperGuy
Reputation: 449 credits
Comment date: 2010-09-15 17:36:08 (UTC)
BugBopper identifies this file as Virus.BAT.Vr.b More info: hxxp://BugBopper.com/MalwareInfo/MD5/ab/ab76bb00f077a0a09f6a969073fe537e.asp
Tags: common, claud, batvir
0f7c9e1d31831ff8fbb2cb873aca9064eefe44a56cc414a6f0463a288a825f4d
Was this comment helpful? Yes (0) | No (0) | Report abuse

User:BugBopperGuy
Reputation: 449 credits
Comment date: 2010-09-15 14:26:00 (UTC)
BugBopper identifies this file as Virus.BAT.Vr.a More info: hxxp://BugBopper.com/MalwareInfo/MD5/fc/fc493b0b4d8a6d4bd80c05a45728491d.asp
Tags: common, a5d1, claud
bc74b0b7dd3d8e0a96abeef5629dbe80a41a90f9b3b4acc847fa75dce738a037
Was this comment helpful? Yes (0) | No (0) | Report abuse

User:BugBopperGuy
Reputation: 449 credits
Comment date: 2010-09-11 18:02:25 (UTC)
BugBopper identifies this file as W32/ProAgent More info: hxxp://BugBopper.com/MalwareInfo/MD5/63/6335bdb385ea51c9abb7718c660e0108.asp
Tags: proagent, progent, files
cb974fb42d1320f2e38af6d0356ddaf889bb594d8a54eed9efb801b56669e82a
Was this comment helpful? Yes (0) | No (0) | Report abuse

User:BugBopperGuy
Reputation: 449 credits
Comment date: 2010-09-14 19:51:11 (UTC)
BugBopper identifies this file as Trojan.Win32.VB.amd More info: hxxp://BugBopper.com/MalwareInfo/MD5/cd/cd5a8b0ca2c78f052d72ec8b8aa6a1e2.asp
Tags: files, panda, clicker
4db3346ba4596915b37d75206069ec42d79126a2627a8e74cc8a7df2ece96f1d

Hi,

nein, damit sind die Ergebnisse der einzelnen Scanner gemeint...
Hier ein Beispiel:

Code:

File name:

cinemst2.sys

Submission date:

2010-10-06 09:18:18 (UTC)

Current status:

queued (#1) queued analysing finished

Result:

0/ 43 (0.0%)

        

VT Community
 

not reviewed

 Safety score: - 

Compact

Print results

Antivirus         Version         Last Update         Result

AhnLab-V3        2010.10.06.01        2010.10.06        -

AntiVir        7.10.12.138        2010.10.06        -

Antiy-AVL        2.0.3.7        2010.10.06        -

Authentium        5.2.0.5        2010.10.06        -

Avast        4.8.1351.0        2010.10.05        -

Avast5        5.0.594.0        2010.10.05        -

AVG        9.0.0.851        2010.10.06        -

BitDefender        7.2        2010.10.06        -

CAT-QuickHeal        11.00        2010.10.05        -

ClamAV        0.96.2.0-git        2010.10.06        -

Comodo        6297        2010.10.06        -

DrWeb        5.0.2.03300        2010.10.06        -

Emsisoft        5.0.0.50        2010.10.06        -

eSafe        7.0.17.0        2010.10.05        -

eTrust-Vet        36.1.7893        2010.10.05        -

F-Prot        4.6.2.117        2010.10.05        -

F-Secure        9.0.15370.0        2010.10.06        -

Fortinet        4.2.249.0        2010.10.06        -

GData        21        2010.10.06        -

Ikarus        T3.1.1.90.0        2010.10.06        -

Jiangmin        13.0.900        2010.10.05        -

K7AntiVirus        9.63.2680        2010.10.05        -

Kaspersky        7.0.0.125        2010.10.06        -

McAfee        5.400.0.1158        2010.10.06        -

McAfee-GW-Edition        2010.1C        2010.10.06        -

Microsoft        1.6201        2010.10.06        -

NOD32        5508        2010.10.06        -

Norman        6.06.07        2010.10.05        -

nProtect        2010-10-06.02        2010.10.06        -

Panda        10.0.2.7        2010.10.05        -

PCTools        7.0.3.5        2010.10.02        -

Prevx        3.0        2010.10.06        -

Rising        22.67.02.07        2010.09.30        -

Sophos        4.58.0        2010.10.06        -

Sunbelt        6993        2010.10.06        -

SUPERAntiSpyware        4.40.0.1006        2010.10.06        -

Symantec        20101.2.0.161        2010.10.06        -

TheHacker        6.7.0.1.050        2010.10.06        -

TrendMicro        9.120.0.1004        2010.10.06        -

TrendMicro-HouseCall        9.120.0.1004        2010.10.06        -

VBA32        3.12.14.1        2010.10.05        -

ViRobot        2010.10.4.4074        2010.10.06        -

VirusBuster        12.67.4.0        2010.10.05        -

Additional information

Show all

MD5   : 86780103f4d384bc16e6ad03776529a2

SHA1  : d64c34aae73371d583a700a114f0c3b8456b0bb9

SHA256: 8a083ec446df19944c36c31f14b496c2984089ea10bc12f2bdb43c2a325965d6

ssdeep: 6144:IS58YUB6PJGatl/V8LGGFn1Qy5sBmaFWS4PTZJQA:jiYUIl/V8LkRWZPFJ

File size : 262528 bytes

First seen: 2009-04-11 22:36:16

Last seen : 2010-10-06 09:18:18

TrID:

Win32 Executable Generic (68.0%)

Generic Win/DOS Executable (15.9%)

DOS Executable Generic (15.9%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

sigcheck:

publisher....: RAVISENT Technologies Inc.

copyright....: Copyright 1999 RAVISENT Technologies Inc.

product......: CineMaster C 1.2 WDM

description..: CineMaster C 1.2 WDM-Haupttreiber

original name: CINEMST2.SYS

internal name: CINEMST2.SYS

file version.: 5.0.00.0093

comments.....: Erstellt von VIONA Development

signers......: -

signing date.: -

verified.....: Unsigned

PEInfo: PE structure information
 

[[ basic data ]]

entrypointaddress: 0x1589E

timedatestamp....: 0x3B7D864A (Fri Aug 17 21:02:02 2001)

machinetype......: 0x14c (I386)
 

[[ 6 section(s) ]]

name, viradd, virsiz, rawdsiz, ntropy, md5

.text, 0x300, 0x19204, 0x19280, 6.38, 5ef42c118a3d1b00f7859913e04d4e60

.rdata, 0x19580, 0x1AC1, 0x1B00, 4.94, 2f1990d44f2e75636702d1e8bc8a7800

.data, 0x1B080, 0x21FAE, 0x22000, 5.64, 6acc7db408dfaae2e709e29fad51af0f

INIT, 0x3D080, 0x72A, 0x780, 5.31, bebf7cd7067d7ad5782c4d7736128b3d

.rsrc, 0x3D800, 0x500, 0x500, 3.83, 0d135f7273bd9200696782d2c92f4c3f

.reloc, 0x3DD00, 0x2426, 0x2480, 4.85, 81b49c69b655ffaa2dc56e4cd10cb8cc
 

[[ 2 import(s) ]]

ntoskrnl.exe: MmUnlockPages, MmUnmapLockedPages, MmMapLockedPages, MmProbeAndLockPages, IoAllocateMdl, RtlInitUnicodeString, RtlCompareUnicodeString, KefAcquireSpinLockAtDpcLevel, KefReleaseSpinLockFromDpcLevel, KeInitializeMutex, KeReleaseMutex, MmMapIoSpace, MmUnmapIoSpace, ExFreePool, ExAllocatePoolWithTag, IoGetDeviceProperty, IoSetDeviceInterfaceState, IoDeleteDevice, IoRegisterDeviceInterface, IoAttachDeviceToDeviceStack, IoCreateDevice, IofCompleteRequest, InterlockedDecrement, PoStartNextPowerIrp, PoSetPowerState, ExQueueWorkItem, InterlockedIncrement, IoFreeMdl, ObfReferenceObject, IoDetachDevice, IofCallDriver, _aulldiv, _alldiv, PsTerminateSystemThread, ZwCreateKey, ZwClose, KeClearEvent, ZwQueryValueKey, ZwSetValueKey, KeSetPriorityThread, ObReferenceObjectByHandle, DbgPrint, PsCreateSystemThread, ObfDereferenceObject, KeQueryTimeIncrement, KeTickCount, _allmul, KeDelayExecutionThread, KeInsertQueueDpc, IoConnectInterrupt, KeInitializeDpc, IoDisconnectInterrupt, PoUnregisterSystemState, PoRegisterSystemState, IoInvalidateDeviceRelations, _except_handler3, KeGetCurrentThread, KeWaitForSingleObject, KeSetEvent, KeInitializeEvent, IoGetDmaAdapter, KeInitializeSpinLock, PoCallDriver, memmove

HAL.dll: ExReleaseFastMutex, KeQueryPerformanceCounter, KeStallExecutionProcessor, KeGetCurrentIrql, KfReleaseSpinLock, KfAcquireSpinLock, ExAcquireFastMutex

chris

Gut, danke. Allerdings sind es wirklich sehr viele Scanner - Du willst alle haben? Dann mal los... ;)

Code:

File name: 1268678594.internal.1381.exe

Submission date: 2010-03-15 19:47:53 (UTC)

Current status: finished

Result: 36 /42 (85.7%)

VT Community
 

not reviewed

 Safety score: - 

Compact

Print results 

Antivirus        Version        Last Update        Result

a-squared        4.5.0.50        2010.03.15        VBS.Internal!IK

AhnLab-V3        5.0.0.2        2010.03.15        Internal.1381

AntiVir        8.2.1.180        2010.03.15        Internal #2

Antiy-AVL        2.0.3.7        2010.03.15        -

Authentium        5.2.0.5        2010.03.15        Internal.1381

Avast        4.8.1351.0        2010.03.15        Internal-1381

Avast5        5.0.332.0        2010.03.15        Internal-1381

AVG        9.0.0.787        2010.03.15        Internal

BitDefender        7.2        2010.03.15        Internal.1381-Common

CAT-QuickHeal        10.00        2010.03.15        Internal

ClamAV        0.96.0.0-git        2010.03.15        Internal.2

Comodo        4275        2010.03.15        Virus.DOS.Internal.1381

DrWeb        5.0.1.12222        2010.03.15        Internal.1381

eSafe        7.0.17.0        2010.03.15        Win32.Internal

eTrust-Vet        35.2.7363        2010.03.15        Internal

F-Prot        4.5.1.85        2010.03.15        Internal.1381

F-Secure        9.0.15370.0        2010.03.15        Internal.1381-Common

Fortinet        4.0.14.0        2010.03.15        Internal.1459

GData        19        2010.03.15        Internal.1381-Common

Ikarus        T3.1.1.80.0        2010.03.15        VBS.Internal

Jiangmin        13.0.900        2010.03.15        Internal.1381

K7AntiVirus        7.10.998        2010.03.15        Virus.DOS.1381

Kaspersky        7.0.0.125        2010.03.15        Virus.DOS.Internal.1381

McAfee        5921        2010.03.15        Internal

McAfee+Artemis        5921        2010.03.15        Internal

McAfee-GW-Edition        6.8.5        2010.03.15        Virus.Internal #2

Microsoft        1.5502        2010.03.12        Virus:DOS/Internal.1381

NOD32        4946        2010.03.15        Internal.1381

Norman        6.04.08        2010.03.15        Internal.1381/1459

nProtect        2009.1.8.0        2010.03.15        -

Panda        10.0.2.2        2010.03.15        -

PCTools        7.0.3.5        2010.03.15        Internal.1381

Prevx        3.0        2010.03.15        -

Rising        22.39.00.04        2010.03.15        Internal.1381

Sophos        4.51.0        2010.03.15        Internal-1381

Sunbelt        5899        2010.03.15        -

Symantec        20091.2.0.41        2010.03.15        Internal.1381

TheHacker        6.5.2.0.233        2010.03.15        Internal.1381

TrendMicro        9.120.0.1004        2010.03.15        BENNY

VBA32        3.12.12.2        2010.03.14        Internal.1381

ViRobot        2010.3.15.2228        2010.03.15        -

VirusBuster        5.0.27.0        2010.03.14        Internal.1381

Additional informationShow all

MD5   : 932d8fa318d3e00222553e8df5a22c4e

SHA1  : 192275736f404e89e142a56c70c9fe0d7bfba48a

SHA256: d9f90fed7999165ecd1e263a479f9da582836e6c4779eae15019f48718c7bcd6
 

File name: Virus.BAT.Vr.b

Submission date: 2010-04-26 10:39:26 (UTC)

Current status: finished

Result: 35 /40 (87.5%)

VT Community
 

not reviewed

 Safety score: - 

Compact

Print results 

Antivirus        Version        Last Update        Result

a-squared        4.5.0.50        2010.04.26        Virus.BAT.Vr!IK

AhnLab-V3        5.0.0.2        2010.04.26        BAT/Claud.B

AntiVir        8.2.1.224        2010.04.26        BV.Common #2

Antiy-AVL        2.0.3.7        2010.04.26        Virus/BAT.Vr

Authentium        5.2.0.5        2010.04.25        BAT/VR.A

Avast        4.8.1351.0        2010.04.25        Batvir-VR

Avast5        5.0.332.0        2010.04.25        Batvir-VR

AVG        9.0.0.787        2010.04.25        BAT/Vr

BitDefender        7.2        2010.04.26        BAT.Vr.B

CAT-QuickHeal        10.00        2010.04.26        -

ClamAV        0.96.0.3-git        2010.04.26        BV.Common.2

Comodo        4683        2010.04.26        Virus.BAT.Vr.A

DrWeb        5.0.2.03300        2010.04.26        BAT.ComBat.752

eSafe        7.0.17.0        2010.04.25        Win32.Vr.b

eTrust-Vet        35.2.7448        2010.04.24        -

F-Prot        4.5.1.85        2010.04.25        BAT/VR.A

F-Secure        9.0.15370.0        2010.04.26        BAT.Vr.B

Fortinet        4.0.14.0        2010.04.25        PossibleThreat

GData        21        2010.04.26        BAT.Vr.B

Ikarus        T3.1.1.80.0        2010.04.26        Virus.BAT.Vr

Jiangmin        13.0.900        2010.04.26        Intended/BAT.Vr.b

Kaspersky        7.0.0.125        2010.04.26        Virus.BAT.Vr.b

McAfee        5.400.0.1158        2010.04.26        Bat/cmn

McAfee-GW-Edition        6.8.5        2010.04.25        Virus.Common #2

Microsoft        1.5703        2010.04.26        Virus:BAT/VR

NOD32        5061        2010.04.26        BAT/VR.A

Norman        6.04.11        2010.04.26        BAT/Vr.A

nProtect        2010-04-25.01        2010.04.25        BAT.Vr.B

Panda        10.0.2.7        2010.04.25        BAT/126

PCTools        7.0.3.5        2010.04.26        BAT.Vr.B

Prevx        3.0        2010.04.26        -

Rising        22.45.00.04        2010.04.26        Script.Vr.B.BAT

Sophos        4.53.0        2010.04.26        Mal/Generic-B

Sunbelt        6222        2010.04.26        -

Symantec        20091.2.0.41        2010.04.26        BAT.Claud

TheHacker        6.5.2.0.269        2010.04.26        -

TrendMicro        9.120.0.1004        2010.04.26        BAT_VR.B

VBA32        3.12.12.4        2010.04.26        Virus.BAT.Vr.b

ViRobot        2010.4.26.2294        2010.04.26        BAT.Claud.B

VirusBuster        5.0.27.0        2010.04.25        BAT.Vr.B

Additional informationShow all

MD5   : ab76bb00f077a0a09f6a969073fe537e

SHA1  : 60397a1783e967e2c39cf7d2278ef918fda6eb35

SHA256: 0f7c9e1d31831ff8fbb2cb873aca9064eefe44a56cc414a6f0463a288a825f4d
 

ile name: Virus.BAT.Vr.a

Submission date: 2010-04-26 10:38:29 (UTC)

Current status: finished

Result: 28 /39 (71.8%)

VT Community
 

not reviewed

 Safety score: - 

Compact

Print results 

Antivirus        Version        Last Update        Result

a-squared        4.5.0.50        2010.04.26        Virus.BAT.Vr!IK

AhnLab-V3        5.0.0.2        2010.04.26        BAT/Claud

AntiVir        8.2.1.224        2010.04.26        BV.Common #2

Antiy-AVL        2.0.3.7        2010.04.26        Virus/BAT.Vr

Authentium        5.2.0.5        2010.04.25        Intended_Virus!a5d1

Avast        4.8.1351.0        2010.04.25        Batvir-VR

Avast5        5.0.332.0        2010.04.25        Batvir-VR

AVG        9.0.0.787        2010.04.25        -

BitDefender        7.2        2010.04.26        BAT.Vr.A

CAT-QuickHeal        10.00        2010.04.26        -

ClamAV        0.96.0.3-git        2010.04.26        BV.Common.2

Comodo        4683        2010.04.26        UnclassifiedMalware

DrWeb        5.0.2.03300        2010.04.26        -

eSafe        7.0.17.0        2010.04.25        -

eTrust-Vet        35.2.7448        2010.04.24        -

F-Prot        4.5.1.85        2010.04.25        Intended_Virus!a5d1

F-Secure        9.0.15370.0        2010.04.26        BAT.Vr.A

Fortinet        4.0.14.0        2010.04.25        BAT/Vr.A

GData        21        2010.04.26        BAT.Vr.A

Ikarus        T3.1.1.80.0        2010.04.26        Virus.BAT.Vr

Jiangmin        13.0.900        2010.04.26        Intended/BAT.Vr

Kaspersky        7.0.0.125        2010.04.26        Virus.BAT.Vr.a

McAfee        5.400.0.1158        2010.04.26        Bat/cmn

McAfee-GW-Edition        6.8.5        2010.04.25        Virus.Common #2

Microsoft        1.5703        2010.04.26        Virus:BAT/VR

NOD32        5060        2010.04.26        Bat.112

Norman        6.04.11        2010.04.26        -

nProtect        2010-04-25.01        2010.04.25        BAT.Vr.A

Panda        10.0.2.7        2010.04.25        BAT/126

PCTools        7.0.3.5        2010.04.26        BAT.Vr.B

Rising        22.45.00.04        2010.04.26        -

Sophos        4.53.0        2010.04.26        -

Sunbelt        6222        2010.04.26        -

Symantec        20091.2.0.41        2010.04.26        -

TheHacker        6.5.2.0.269        2010.04.26        -

TrendMicro        9.120.0.1004        2010.04.26        BAT_INTEND.VR

VBA32        3.12.12.4        2010.04.26        Virus.BAT.Vr.a

ViRobot        2010.4.26.2294        2010.04.26        BAT.Claud.A

VirusBuster        5.0.27.0        2010.04.25        BAT.Vr.B

Additional informationShow all

MD5   : fc493b0b4d8a6d4bd80c05a45728491d

SHA1  : 4bc71eb2f70484cbf31679bf75d5852405014d89

SHA256: bc74b0b7dd3d8e0a96abeef5629dbe80a41a90f9b3b4acc847fa75dce738a037
 

File name: Not available, prior to VT database update

Submission date: 2007-02-12 13:23:22 (UTC)

Current status: finished

Result: 28 /30 (93.3%)

VT Community
 

not reviewed

 Safety score: - 

Compact

Print results 

Antivirus        Version        Last Update        Result

AntiVir        -        -        TR/Spy.ProAg.21.3.A

Authentium        -        -        W32/ProAgent.F

Avast        -        -        Win32:Tibs-AHV

AVG        -        -        PSW.Generic.VZA

BitDefender        -        -        Generic.Malware.BE!g.E7F84714

CAT-QuickHeal        -        -        TrojanSpy.ProAgent.21

ClamAV        -        -        Trojan.ProAgent-21-1

DrWeb        -        -        Trojan.ProAgent.21

eSafe        -        -        suspicious Trojan/Worm

eTrust-Vet        -        -        Win32/Progent.C

Ewido        -        -        Logger.ProAgent.21

F-Prot        -        -        W32/ProAgent.F

F-Secure        -        -        Trojan-Spy.Win32.ProAgent.21

Fortinet        -        -        W32/ProAgent.V21!tr

Ikarus        -        -        Trojan-Spy.Win32.ProAgent.21

Kaspersky        -        -        Trojan-Spy.Win32.ProAgent.21

McAfee        -        -        PWS-Progent

Microsoft        -        -        PWS:Win32/Progent.A

NOD32v2        -        -        Win32/Spy.ProAgent

Norman        -        -        W32/ProAgent.1_4

Panda        -        -        Trj/Proagent.S

PandaBeta        -        -        Trj/Proagent.S Panda CommandLineSecure 9.04.03 (c)

Panda Software 2007 Time employed for scan ......

.......: 00:00:02Number of files scanned .........

...: 18Number of files infected ...........: 2Numb

er of files disinfected ........: 0Number of files

renamed ............: 0Number of files deleted ..

..........: 0 Copyright Panda Software 2007

Prevx1        -        -        -

SAVMail        -        -        Troyano W32.PROAGENT.21; reporte a Segurmatica

Sophos        -        -        Troj/Progent-P

Sunbelt        -        -        -

Symantec        -        -        Trojan.Progent

TheHacker        -        -        Trojan/Spy.ProAgent.21

UNA        -        -        Trojan.Spy.Win32.ProAgent.21.29B1

VBA32        -        -        Trojan.Win32.Spy.ProAgent

VirusBuster        -        -        TrojanSpy.ProAgent.I

Additional informationShow all

MD5   : 6335bdb385ea51c9abb7718c660e0108

SHA1  : 1c82fcf8d6f1c81e0205665f0edd79820c504c37

SHA256: cb974fb42d1320f2e38af6d0356ddaf889bb594d8a54eed9efb801b56669e82a
 

File name: Not available, prior to VT database update

Submission date: 2007-02-12 13:23:22 (UTC)

Current status: finished

Result: 28 /30 (93.3%)

VT Community
 

not reviewed

 Safety score: - 

Compact

Print results 

Antivirus        Version        Last Update        Result

AntiVir        -        -        TR/Spy.ProAg.21.3.A

Authentium        -        -        W32/ProAgent.F

Avast        -        -        Win32:Tibs-AHV

AVG        -        -        PSW.Generic.VZA

BitDefender        -        -        Generic.Malware.BE!g.E7F84714

CAT-QuickHeal        -        -        TrojanSpy.ProAgent.21

ClamAV        -        -        Trojan.ProAgent-21-1

DrWeb        -        -        Trojan.ProAgent.21

eSafe        -        -        suspicious Trojan/Worm

eTrust-Vet        -        -        Win32/Progent.C

Ewido        -        -        Logger.ProAgent.21

F-Prot        -        -        W32/ProAgent.F

F-Secure        -        -        Trojan-Spy.Win32.ProAgent.21

Fortinet        -        -        W32/ProAgent.V21!tr

Ikarus        -        -        Trojan-Spy.Win32.ProAgent.21

Kaspersky        -        -        Trojan-Spy.Win32.ProAgent.21

McAfee        -        -        PWS-Progent

Microsoft        -        -        PWS:Win32/Progent.A

NOD32v2        -        -        Win32/Spy.ProAgent

Norman        -        -        W32/ProAgent.1_4

Panda        -        -        Trj/Proagent.S

PandaBeta        -        -        Trj/Proagent.S Panda CommandLineSecure 9.04.03 (c)

Panda Software 2007 Time employed for scan ......

.......: 00:00:02Number of files scanned .........

...: 18Number of files infected ...........: 2Numb

er of files disinfected ........: 0Number of files

renamed ............: 0Number of files deleted ..

..........: 0 Copyright Panda Software 2007

Prevx1        -        -        -

SAVMail        -        -        Troyano W32.PROAGENT.21; reporte a Segurmatica

Sophos        -        -        Troj/Progent-P

Sunbelt        -        -        -

Symantec        -        -        Trojan.Progent

TheHacker        -        -        Trojan/Spy.ProAgent.21

UNA        -        -        Trojan.Spy.Win32.ProAgent.21.29B1

VBA32        -        -        Trojan.Win32.Spy.ProAgent

VirusBuster        -        -        TrojanSpy.ProAgent.I

Additional informationShow all

MD5   : 6335bdb385ea51c9abb7718c660e0108

SHA1  : 1c82fcf8d6f1c81e0205665f0edd79820c504c37

SHA256: cb974fb42d1320f2e38af6d0356ddaf889bb594d8a54eed9efb801b56669e82a
 

File name: Not available, prior to VT database update

Submission date: 2007-02-13 15:15:26 (UTC)

Current status: finished

Result: 2 /29 (6.9%)

VT Community
 

not reviewed

 Safety score: - 

Compact

Print results 

Antivirus        Version        Last Update        Result

AntiVir        -        -        HEUR/Crypted

Authentium        -        -        -

Avast        -        -        -

AVG        -        -        -

BitDefender        -        -        -

CAT-QuickHeal        -        -        -

ClamAV        -        -        -

DrWeb        -        -        -

eTrust-InoculateIT        -        -        -

eTrust-Vet        -        -        -

Ewido        -        -        -

F-Prot        -        -        -

F-Prot4        -        -        -

Fortinet        -        -        suspicious

Ikarus        -        -        -

Kaspersky        -        -        -

McAfee        -        -        -

Microsoft        -        -        -

NOD32v2        -        -        -

Norman        -        -        -

Panda        -        -        -

Sophos        -        -        -

Symantec        -        -        -

T3        -        -        -

TheHacker        -        -        -

TrendMicro        -        -        -

UNA        -        -        -

VBA32        -        -        -

VirusBuster        -        -        -

Additional informationShow all

MD5   : cd5a8b0ca2c78f052d72ec8b8aa6a1e2

SHA1  : 8e5fff0e072b2dfae7dcff92213edc94a4a423f9

SHA256: 4db3346ba4596915b37d75206069ec42d79126a2627a8e74cc8a7df2ece96f1d

Das erscheint mir doch seltsam, deshalb habe ich nur die ersten fünf Ergebnisse kopiert. Ich hoffe, dass das reicht :killpc:

Den Fullscan vom Malwarebytes-Programm muss ich heute abend machen und dann morgen früh eventuell posten, ich muss gleich weg und will den PC nicht an lassen.

Danke Euch aber schon mal für die Hilfe :)

Hi,

äh, was für Files hast du prüfen lassen?
1268678594.internal.1381.exe
Eigentlich solltest Du die von Dateien

Code:

C:\Program Files\Common Files\Vbox\Common\vboxat.dll

C:\Program Files\Common Files\Vbox\Common\vboxtb.dll

Die Du hast posten lassen und erkannt wurden löschen...

Lass unbedingt MAM laufen und poste das OTL-Log...

chris

Huch! Hm, dann erschließt sich Virustotal mir nicht so ganz.

Ich habe auf deren Website "Search" angeklickt und die Datei per copy/paste... aber jetzt sehe ich wohl, wo der Fehler lag :stirn:

Allerdings habe ich durchaus nach den Dateien per Durchsuchen gefahndet, aber nichts gefunden im angegebenen Verzeichnis :confused:

Hi,

werden die Dateien von Kapi beim suchen noch gefunden?

Welche Version von KIS ist das (11.0.1.400 (a.b))?
Ältere haben in der Richtung etwas "gesponnen", daher müssen wir die Dateien bevor wir was unternehmen, erst prüfen lassen!

chris

KIS-Version ist 11.0.0.232 (a,b,c), die Datenbanken sind aktuell.

Als Auffindedatum der Trojaner zeigt mir KIS immer das aktuelle Datum (also 6.10.) an. Malwarebyes ist auch jetzt beim vollständigen Scan wieder über den Ordner, in dem die infizierte Datei liegt, ohne Murren rübergegangen.

Hi,

neuste Version installieren von Kapi...

Poste unbedingt das OTL-Log...

Ich kann die Malware aus dem Verkehr ziehen (wenn es denn welche ist)...

Fix für OTL:

Doppelklick auf die OTL.exe, um das Programm auszuführen.

Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

http://oldtimer.geekstogo.com/OTL/OTL_Main_Tutorial.gif

Code:



:Files

C:\Program Files\Common Files\Vbox\Common\vboxat.dll

C:\Program Files\Common Files\Vbox\Common\vboxtb.dll
 

:Commands

[emptytemp]

[Reboot]

Den roten Run Fixes! Button anklicken.

Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

%systemroot%\_OTL

Damit werde sie in die Quarantäne von OTL verschoben...

chris

Habe ich durchgeführt. Hier sind die Ergebnisse:

Code:

All processes killed

========== FILES ==========

File\Folder C:\Program Files\Common Files\Vbox\Common\vboxat.dll not found.

File\Folder C:\Program Files\Common Files\Vbox\Common\vboxtb.dll not found.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Henning

->Temp folder emptied: 18431970 bytes

->Temporary Internet Files folder emptied: 7935957 bytes

->Java cache emptied: 73180382 bytes

->Google Chrome cache emptied: 10681369 bytes

->Flash cache emptied: 1970013 bytes

 

User: Public

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 250868066 bytes

%systemroot%\System32 .tmp files removed: 86016 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 323352 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 347,00 mb

 

 

OTL by OldTimer - Version 3.2.14.1 log created on 10062010_132225
 

Files\Folders moved on Reboot...

File\Folder C:\Windows\temp\klsDC01.tmp not found!
 

Registry entries deleted on Reboot...

Hi,

auch OTL findet die Files nicht...
Installiere mal die neuste Version von Kapi...
Poste das normale OTL log...

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe

Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

Unter Extra Registry, wähle bitte Use SafeList

Klicke nun auf Run Scan links oben

Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

Poste die Logfiles hier in den Thread

Sonst müssen wir von "aussen" suchen...

chris