Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 14

Thema: Trojan.PWS.Banker.3682

  1. #1
    Forenbenutzer
    Registriert seit
    30.04.2006
    Beiträge
    38

    Trojan.PWS.Banker.3682

    Hallo zusammen,

    bin nun etwas verwirrt, da einige Vierenscanner eigentlich doch nützliche Programme als " böse " deklarieren.

    Ich habe heute mit Dr.Web online-scanner meinen Rechner gescannt und dieser meckerte mir von dem Programm ERUNT http://www.zdnet.de/downloads/prg/v/f/deFFVF-wc.html

    die NTREGOPT.EXE an und sagt Trojan.PWS.Banker.3682!!!

    Habe mit Jotti das hier erhalten:

    Datei: NTREGOPT.EXE
    Auslastung:
    0% 100%
    Status:
    INFIZIERT/MALWARE
    Entdeckte Packprogramme:
    UPX

    AntiVir
    Keine Viren gefunden
    ArcaVir
    Keine Viren gefunden
    Avast
    Keine Viren gefunden
    AVG Antivirus
    Keine Viren gefunden
    BitDefender
    Keine Viren gefunden
    ClamAV
    Keine Viren gefunden
    Dr.Web
    Trojan.PWS.Banker.3682 gefunden
    F-Prot Antivirus
    Keine Viren gefunden
    Fortinet
    Keine Viren gefunden
    Kaspersky Anti-Virus
    Keine Viren gefunden
    NOD32
    Keine Viren gefunden
    Norman Virus Control
    Keine Viren gefunden
    UNA
    Keine Viren gefunden
    VirusBuster
    Keine Viren gefunden
    VBA32
    Trojan.PWS.Banker.3682 gefunden


    und mit Virus Total:

    AntiVir 6.35.0.20 07.06.2006 no virus found
    Authentium 4.93.8 07.05.2006 no virus found
    Avast 4.7.844.0 07.06.2006 no virus found
    AVG 386 07.04.2006 no virus found
    BitDefender 7.2 07.06.2006 no virus found
    CAT-QuickHeal 8.00 07.05.2006 no virus found
    ClamAV devel-20060426 07.05.2006 no virus found
    DrWeb 4.33 07.06.2006 Trojan.PWS.Banker.3682
    eTrust-InoculateIT 23.72.60 07.06.2006 no virus found
    eTrust-Vet 12.6.2289 07.06.2006 no virus found
    Ewido 3.5 07.06.2006 no virus found
    Fortinet 2.77.0.0 07.05.2006 no virus found
    F-Prot 3.16f 07.05.2006 no virus found
    F-Prot4 4.2.1.29 07.05.2006 no virus found
    Ikarus 0.2.65.0 07.06.2006 no virus found
    Kaspersky 4.0.2.24 07.06.2006 no virus found
    McAfee 4800 07.05.2006 no virus found
    Microsoft 1.1481 07.01.2006 no virus found
    NOD32v2 1.1646 07.06.2006 no virus found
    Norman 5.90.23 07.05.2006 no virus found
    Panda 9.0.0.4 07.06.2006 no virus found
    Sophos 4.07.0 07.06.2006 no virus found
    Symantec 8.0 07.06.2006 no virus found
    TheHacker 5.9.8.169 07.06.2006 no virus found
    UNA 1.83 07.05.2006 no virus found
    VBA32 3.11.0 07.06.2006 Trojan.PWS.Banker.3682
    VirusBuster 4.3.7:9 07.05.2006 no virus found

    Aditional Information
    File size: 140288 bytes
    MD5: c0c51f6c2949b74f65fb67a470a86288
    SHA1: aab8ad20f7fb57c51f7ccdd61b6affbb3823dae8
    packers: UPX

    Was soll ich nun davon halten?

    Sind das Fehlmeldungen von DR.Web und VBA32?


    Danke für Eure Hilfe

    Wolfram

    Edit: Es handelt sich hier um die Version ERUNT 1.1h

    Habe nun die Version 1.1j aufgespielt und da wird die NTREGOP.EXE nicht mehr bemängelt!!!!!

    Hat das nun an der Version gelegen?

    Ich bin föllig fertig und blicke nicht mehr durch.
    Geändert von Wolferl (06.07.2006 um 17:18 Uhr)

  2. #2
    Tammy
    Gast

    AW: Trojan.PWS.Banker.3682

    Hallo Wolferl,

    es besteht wohl erstmal kein Grund dazu, "föllig fertig" zu sein.

    Kein Virenscanner dieser Welt erkennt alle Malware. Und manche erkennen *gute* Dateien als Malware

    Also -=Cool down!=-
    ...und poste uns ein aktuelles HijackThis-Logfile, dann schaumermal.
    Hänge auch bitte gleich noch die 4 Logfiles der windatfindbat
    mit an. (Danke an Karl83!)
    (Bitte je Logfile nur die letzten 30 Tage).
    Es ist vollkommen ok, dass du uns die Resultate von Jotti und Virustotal gepostet hast, aber evtl. haben wir noch andere Ideen.

    Gruß,
    Tammy

  3. #3
    Forenbenutzer
    Registriert seit
    30.04.2006
    Beiträge
    38

    AW: Trojan.PWS.Banker.3682

    Hallo,

    erst mal Danke und hier das Hijack Log:

    Bitte den Eintrag von NetMon ignorieren = kein Virus!!! Mir bekanntes Progr.!!!

    Logfile of HijackThis v1.99.1
    Scan saved at 20:02:42, on 06.07.2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    C:\WINDOWS\system32\VTTimer.exe
    C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    C:\WINDOWS\system32\VTtrayp.exe
    C:\WINDOWS\AGRSMMSG.exe
    C:\Programme\ltmoh\Ltmoh.exe
    C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
    D:\Programme\Systhema\Speedometer\NetMon.exe
    C:\Programme\Launch Manager\PowerKey.exe
    C:\Programme\Launch Manager\OSDCtrl.exe
    C:\Programme\FRITZ!DSL\IGDCTRL.EXE
    C:\Programme\Launch Manager\Wbutton.exe
    C:\Programme\FRITZ!DSL\FwebProt.exe
    C:\WINDOWS\system32\oodag.exe
    C:\Programme\FRITZ!DSL\StCenter.EXE
    C:\Programme\Mozilla Firefox\firefox.exe
    D:\Programme\Systhema\Vierenprogis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
    O2 - BHO: metaspinner GmbH - {E9E027BF-C3F3-4022-8F6B-8F6D39A59684} - C:\Programme\Preispiraten3\Preispiraten3\IEButtonPPInterface .dll
    O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
    O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
    O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [NetMon] "D:\Programme\Systhema\Speedometer\NetMon.exe"
    O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
    O4 - HKLM\..\Run: [PowerKey] "C:\Programme\Launch Manager\PowerKey.exe"
    O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSDCtrl.exe
    O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
    O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
    O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten3\\Preispiraten3\\preispiraten.ht ml
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
    O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
    O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
    O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
    O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english...an_unicode.cab
    O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
    O16 - DPF: {94EB57FE-2720-496C-B33F-D9353C6E23F7} (F-Secure Online Scanner 2.1) - http://support.f-secure.com/ols/fscax.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
    O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
    O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
    O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
    O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

    Hier DatFindbat:

    Datentr„ger in Laufwerk C: ist ACER
    Volumeseriennummer: 2629-16F0

    Verzeichnis von C:\WINDOWS\system32

    06.07.2006 19:54 19.497 OODBS.lor
    05.07.2006 22:16 1.406 Help.ico
    05.07.2006 22:16 2.550 Uninstall.ico
    05.07.2006 22:16 30.590 pavas.ico
    03.07.2006 19:32 1.158 wpa.dbl
    26.06.2006 09:33 71.856 perfc007.dat
    26.06.2006 09:33 407.550 perfh007.dat
    26.06.2006 09:33 394.412 perfh009.dat
    26.06.2006 09:33 59.660 perfc009.dat
    26.06.2006 09:29 967.264 PerfStringBackup.INI
    19.06.2006 16:19 571.184 LegitCheckControl.dll
    18.06.2006 21:57 266.208 FNTCACHE.DAT
    09.06.2006 10:10 57.384 avsda.dll
    09.06.2006 03:19 5.967.776 MRT.exe
    02.06.2006 01:58 4.096 oodbsrs.dll
    02.06.2006 01:56 112.128 oodbs.exe
    02.06.2006 01:52 339.456 oodag.exe
    02.06.2006 01:52 10.240 oodagrs.dll
    02.06.2006 01:50 11.264 oodagmg.dll
    01.06.2006 23:57 9.728 ootmapi.dll
    01.06.2006 20:47 163.840 jgdw400.dll
    01.06.2006 20:47 27.648 jgpl400.dll
    31.05.2006 22:06 90 spupdwxp.log
    29.05.2006 17:30 1.494.016 shdocvw.dll
    27.05.2006 08:40 6.903 jupdate-1.5.0_07-b03.log
    19.05.2006 17:09 3.073.536 mshtml.dll
    18.05.2006 07:36 450.560 jscript.dll
    14.05.2006 10:48 181.248 rasmans.dll
    11.05.2006 10:57 27.136 xpsp3res.dll
    10.05.2006 07:23 664.064 wininet.dll
    10.05.2006 07:23 615.936 urlmon.dll
    10.05.2006 07:23 474.624 shlwapi.dll
    10.05.2006 07:22 16.384 jsproxy.dll
    10.05.2006 07:22 146.432 msrating.dll
    10.05.2006 07:22 39.424 pngfilt.dll
    10.05.2006 07:22 96.768 inseng.dll
    10.05.2006 07:22 532.480 mstime.dll
    10.05.2006 07:22 448.512 mshtmled.dll
    10.05.2006 07:22 1.056.256 danim.dll
    10.05.2006 07:22 251.392 iepeers.dll
    10.05.2006 07:22 205.312 dxtrans.dll
    10.05.2006 07:22 1.022.976 browseui.dll
    10.05.2006 07:22 357.888 dxtmsft.dll
    10.05.2006 07:22 152.064 cdfview.dll
    10.05.2006 07:22 55.808 extmgr.dll
    04.05.2006 17:35 65.536 QuickTimeVR.qtx
    04.05.2006 17:35 49.152 QuickTime.qts
    03.05.2006 02:56 127.078 javaws.exe
    03.05.2006 02:56 49.265 jpicpl32.cpl
    03.05.2006 01:19 53.346 javaw.exe
    03.05.2006 01:19 49.248 java.exe
    29.04.2006 06:07 5.533.696 wmp.dll
    06.04.2006 10:54 73.728 asuninst.exe
    03.04.2006 11:40 14.048 spmsg.dll
    03.04.2006 10:59 128 xposer.cfg
    03.04.2006 10:59 128 asinst.cfg
    21.03.2006 20:31 0 asfiles.txt
    20.03.2006 17:41 12.054 OEMLOGO.bmp
    20.03.2006 17:41 449 oeminfo.ini
    20.03.2006 15:00 6.948 jupdate-1.5.0_06-b05.log
    20.03.2006 13:15 16.832 amcompat.tlb
    20.03.2006 13:15 23.392 nscompat.tlb
    20.03.2006 10:37 575 $winnt$.inf
    17.03.2006 11:11 679.424 inetcomm.dll
    17.03.2006 06:03 8.493.056 shell32.dll
    17.03.2006 02:38 28.672 verclsid.exe
    01.03.2006 21:43 161.280 msdtcuiu.dll
    01.03.2006 21:43 66.560 mtxclu.dll
    01.03.2006 21:43 426.496 msdtcprx.dll
    01.03.2006 21:43 956.416 msdtctm.dll
    01.03.2006 21:43 91.136 mtxoci.dll
    01.03.2006 21:43 11.776 xolehlp.dll


    2045 Datei(en) 383.825.905 Bytes
    0 Verzeichnis(se), 6.260.973.568 Bytes frei
    Datentr„ger in Laufwerk C: ist ACER
    Volumeseriennummer: 2629-16F0

    Verzeichnis von C:\DOKUME~1\Wolfram\LOKALE~1\Temp

    06.07.2006 19:54 49.152 ~DFA2BD.tmp
    06.07.2006 19:54 16.384 ~DFC774.tmp
    06.07.2006 19:53 49.152 ~DF2BC9.tmp
    06.07.2006 19:53 16.384 ~DFB72B.tmp
    4 Datei(en) 131.072 Bytes
    0 Verzeichnis(se), 6.261.129.216 Bytes frei
    Datentr„ger in Laufwerk C: ist ACER
    Volumeseriennummer: 2629-16F0

    Verzeichnis von C:\WINDOWS

    06.07.2006 19:54 3.828 ModemLog_Agere Systems AC'97 Modem.txt
    06.07.2006 19:54 97 ComponentList.xml
    06.07.2006 19:54 0 0.log
    06.07.2006 19:54 2.048 bootstat.dat
    06.07.2006 19:53 1.400.825 WindowsUpdate.log
    06.07.2006 19:53 32.618 SchedLgU.Txt
    05.07.2006 22:16 32 pavsig.txt
    30.06.2006 11:13 202 NeroDigital.ini
    20.06.2006 19:54 227 system.ini
    20.06.2006 19:54 555 win.ini
    10.06.2006 21:30 112 ChkMail.Ini
    31.05.2006 22:06 316.640 WMSysPr9.prx
    23.04.2006 11:22 737.280 iun6002.exe
    24.03.2006 19:09 5.557 mozver.dat
    21.03.2006 17:05 26 Lic.xxx
    20.03.2006 16:19 400 ODBC.INI
    20.03.2006 15:53 25 CDEC66SeriesEuro.ini
    20.03.2006 13:13 107.132 UninstallFirefox.exe
    20.03.2006 13:12 0 nsreg.dat
    20.03.2006 13:12 107.132 UninstallThunderbird.exe
    20.03.2006 12:52 74.962 _detmp.1
    20.03.2006 12:22 1.550.297 setupapi.log.1.old
    20.03.2006 10:43 169 User.xml
    20.03.2006 10:40 1.749.869 setupapi.log.0.old
    20.03.2006 10:34 8.192 REGLOCS.OLD

    102 Datei(en) 25.069.798 Bytes
    0 Verzeichnis(se), 6.261.121.024 Bytes frei
    Datentr„ger in Laufwerk C: ist ACER
    Volumeseriennummer: 2629-16F0

    Verzeichnis von C:\

    06.07.2006 20:11 0 sys.txt
    06.07.2006 20:11 5.323 system.txt
    06.07.2006 20:11 432 systemtemp.txt
    06.07.2006 20:11 99.882 system32.txt
    06.07.2006 19:54 737.202.176 hiberfil.sys
    06.07.2006 19:54 1.107.296.256 pagefile.sys
    20.06.2006 19:54 211 boot.ini
    10.06.2006 21:32 6 ISACER.ID
    31.05.2006 21:43 251.184 ntldr
    31.05.2006 21:43 47.564 NTDETECT.COM
    29.04.2006 18:23 0 23990098.$$$
    21.03.2006 17:05 2 AVPCallback.log
    20.03.2006 10:39 0 IO.SYS
    20.03.2006 10:39 0 MSDOS.SYS

    22 Datei(en) 1.844.909.784 Bytes
    0 Verzeichnis(se), 6.261.112.832 Bytes frei
    Geändert von Wolferl (06.07.2006 um 19:24 Uhr)

  4. #4
    Ehrenmitglied Avatar von Speedy
    Registriert seit
    07.08.2004
    Ort
    Linz
    Beiträge
    23.583

    AW: Trojan.PWS.Banker.3682

    Zitat Zitat von Tammy
    Hallo Wolferl,

    ...und poste uns ein aktuelles HijackThis-Logfile, dann schaumermal.
    Hänge auch bitte gleich noch die 4 Logfiles der windatfindbat
    mit an. (Danke an Karl83!)
    (Bitte je Logfile nur die letzten 30 Tage).
    Gruß,
    Tammy
    bitte ändere deinen beitrag, lösche aus dem protokoll alle daten, die älter als 30 tage sind!

    @tammy!
    bitte die filelist.bat verwenden http://forum.hijackthis.de/showthrea...0268#post90268
    lg
    http://members.linzag.net/680262/ff.jpgwww.Speedyweb.at.tfhttp://members.linzag.net/680262/tb.jpg
    Die Durchführung meiner Tipps erfolgt auf eigene Verantwortung!
    HijackThis (Downloads und Anleitungen z.B. was ist fixen usw.)
    HijackThis-Chat oder willst du hier mitmachen Stellenausschreibung
    hilfestellung zur systembereinigung nur über das öffentliche Windows forum und keinesfalls über privatnachrichten oder email !!

  5. #5
    Forenbenutzer
    Registriert seit
    30.04.2006
    Beiträge
    38

    AW: Trojan.PWS.Banker.3682

    Hallo,

    hab da grad was rausgefunden:

    In den Versionen von ERUNT 1.1g, und 1.1h wird die Datei" NTREGOPT.EXE"

    von Dr.Web als Trojaner definiert.


    In der neusten Version Erunt 1.1j ist die Datei "NTREGOPT.EXE" sauber.


    Könnt ihr damit was anfangen?


    Greez

    Wolfram

  6. #6
    Supermod a.D. Avatar von Ruby
    Registriert seit
    25.01.2005
    Ort
    The Netherlands
    Beiträge
    20.038

    AW: Trojan.PWS.Banker.3682

    Zwischenfrage:

    es gibt noch einen 2. Thread von dir @ Wolferl den Remove WGA1.1 = Backdoor. Geht es dabei um den gleichen Rechner? Dann sollten die Threads wohl besser zusammengefügt werden, damit nicht x Leute von uns das gleiche System an verschiedenen Orten betreuen.

  7. #7
    Forenbenutzer
    Registriert seit
    30.04.2006
    Beiträge
    38

    AW: Trojan.PWS.Banker.3682

    Ja es handelt sich um ein und den selben Rechner.

    Aber jetzt zu dem Trojan.PWS.Banker.3682.............

    Habe gestern einiges recherschiert und herausgefunden was ziemlich verwirrend und seltsam ist, aber seht selbst.

    Wie schon oben im Thread beschrieben kommt die Virenwarnung nur bei der NTREGOPT.EXE der Versionen 1.1g,bzw 1.1h. Die Version 1.1j erzeugt keine Meldung.

    Habe nun durch einen Bekannten diese zwei Dateien an Dr.Web und VBA32 geschickt um diese zu checken.

    Ergebnis: Beide haben diese als Fehlalarm eingestuft und ihre Scanner berichtigt.
    Bis Heute....da meldet VBA32 erneut den Trojan.PWS.Banker.3682.
    Hatte selbst gestern noch an Avira diese zwei Dateien geschickt mit der Bitte diese zu checken. Das Ergebnis ist verblüffend:

    "wir bedanken uns für Ihre Email.

    In der von Ihnen eingesendeten Datei haben wir einen neuen Virus entdeckt. Dessen Signatur wird nun eingebaut, sodass er mit einem der nächsten Updates als TR.Spy.Agent.A.4 erkannt wird.

    Bitte beachten Sie, dass es sich hierbei um keinen Fehlalarm handelt, da die Datei Hook-Funktionen enthält.
    Möglicherweise ist dies nur bei der älteren Datei der Fall.

    Wir bitten Sie daher, bis zum kommenden VDF-Update zu warten und dann erneut zu überprüfen, ob und welche Version der Datei NTREGOPT.EXE bei Ihnen weiterhin von AntiVir gemeldet werden.

    Bei weiteren Fragen stehen wir Ihnen gerne zur Verfügung.

    -- Freundliche Gruesse / Best regards Avira GmbH Andreas Pohl First Level Support Avira GmbH Lindauer Str. 21, D-88069 Tettnang, Germany Internet: http://www.avira.com

    So nun wird die Datei der ERUNT Versionen 1.1g und 1.1h bei VirusTotal so dargestellt:

    Complete scanning result of "NTREGOPT.EXE", received in VirusTotal at 07.08.2006, 11:41:49 (CET).

    Antivirus Version Update Result
    AntiVir 6.35.0.21 07.07.2006 TR/Spy.Agent.A.4.A
    Authentium 4.93.8 07.07.2006 no virus found
    Avast 4.7.844.0 07.07.2006 no virus found
    AVG 386 07.07.2006 no virus found
    BitDefender 7.2 07.08.2006 no virus found
    CAT-QuickHeal 8.00 07.07.2006 no virus found
    ClamAV devel-20060426 07.07.2006 no virus found
    DrWeb 4.33 07.07.2006 no virus found
    eTrust-InoculateIT 23.72.63 07.08.2006 no virus found
    eTrust-Vet 12.6.2291 07.07.2006 no virus found
    Ewido 3.5 07.08.2006 no virus found
    Fortinet 2.77.0.0 07.08.2006 no virus found
    F-Prot 3.16f 07.07.2006 no virus found
    F-Prot4 4.2.1.29 07.07.2006 no virus found
    Ikarus 0.2.65.0 07.07.2006 no virus found
    Kaspersky 4.0.2.24 07.08.2006 no virus found
    McAfee 4802 07.07.2006 no virus found
    Microsoft 1.1481 07.08.2006 no virus found
    NOD32v2 1.1650 07.07.2006 no virus found
    Norman 5.90.23 07.07.2006 no virus found
    Panda 9.0.0.4 07.07.2006 no virus found
    Sophos 4.07.0 07.08.2006 no virus found
    Symantec 8.0 07.08.2006 no virus found
    TheHacker 5.9.8.170 07.07.2006 no virus found
    UNA 1.83 07.06.2006 no virus found
    VBA32 3.11.0 07.08.2006 Trojan.PWS.Banker.3682
    VirusBuster 4.3.7:9 07.07.2006 no virus found

    Und ganz witzig die Datei der Version ERUNT 1.1j (die sonst immer sauber war) so:

    Complete scanning result of "NTREGOPT.EXE", received in VirusTotal at 07.08.2006, 11:42:58 (CET).

    Antivirus Version Update Result
    AntiVir 6.35.0.21 07.07.2006 no virus found
    Authentium 4.93.8 07.07.2006 no virus found
    Avast 4.7.844.0 07.07.2006 no virus found
    AVG 386 07.07.2006 no virus found
    BitDefender 7.2 07.08.2006 no virus found
    CAT-QuickHeal 8.00 07.07.2006 no virus found
    ClamAV devel-20060426 07.07.2006 no virus found
    DrWeb 4.33 07.07.2006 no virus found
    eTrust-InoculateIT 23.72.63 07.08.2006 no virus found
    eTrust-Vet 12.6.2291 07.07.2006 no virus found
    Ewido 3.5 07.08.2006 no virus found
    Fortinet 2.77.0.0 07.08.2006 no virus found
    F-Prot 3.16f 07.07.2006 no virus found
    F-Prot4 4.2.1.29 07.07.2006 no virus found
    Ikarus 0.2.65.0 07.07.2006 no virus found
    Kaspersky 4.0.2.24 07.08.2006 no virus found
    McAfee 4802 07.07.2006 no virus found
    Microsoft 1.1481 07.08.2006 no virus found
    NOD32v2 1.1650 07.07.2006 no virus found
    Norman 5.90.23 07.07.2006 no virus found
    Panda 9.0.0.4 07.07.2006 no virus found
    Sophos 4.07.0 07.08.2006 no virus found
    Symantec 8.0 07.08.2006 no virus found
    TheHacker 5.9.8.170 07.07.2006 no virus found
    UNA 1.83 07.06.2006 no virus found
    VBA32 3.11.0 07.08.2006 Trojan.PWS.Banker.3682
    VirusBuster 4.3.7:9 07.07.2006 no virus found

    Das ist doch mehr wie verwunderlich.

    Was haltet ihr von dem Ganzen?

    Wolfram

  8. #8
    Ehrenmitglied Avatar von Speedy
    Registriert seit
    07.08.2004
    Ort
    Linz
    Beiträge
    23.583

    AW: Trojan.PWS.Banker.3682

    Hi
    programm deinstallieren, registry bereinigen, scannen und danach neu installieren.
    sollte dann neuerlich beim scannen eine malware gefunden werden ->
    Dateien hochladen geht folgendermaßen:

    du besuchst folgende Netz-Adresse:

    http://www.thespykiller.co.uk/forum/index.php?board=1.0

    du brauchst dich nicht zu registrieren.
    Eröffne einen neuen Thread mit dem Button (1) "New Topic"
    Damit klappt ein neues Fenster auf:



    Gib deinen Namen (2) und deine Email-Adresse (3) an.
    Gib in der Betreffzeile ("Subject") (4) an, um welche Malware es sich handelt: .....
    Verweise auf deinen Thread bei uns (5), gib die URL deines Threads bei uns an:

    http://forum.hijackthis.de/newreply....uote=1&p=92021

    Suche nun unter "Browse" (6) die Datei
    die erkannte malwaredatei <- auf deinem Rechner
    und lade sie hoch.

    Drücke auf "Post" (7).
    Nun hast du einen neuen Thread mit dem Anhang deiner Datei
    bei "thespykiller" eröffnet, man wird die Datei finden, analysieren und
    an die Hersteller von Antivirus- und Anti-Spyware-Programmen weiterleiten.

    Somit haben du und andere User eine Chance,
    dass diese neue Infektion erkannt und entfernt werden kann.
    lg
    http://members.linzag.net/680262/ff.jpgwww.Speedyweb.at.tfhttp://members.linzag.net/680262/tb.jpg
    Die Durchführung meiner Tipps erfolgt auf eigene Verantwortung!
    HijackThis (Downloads und Anleitungen z.B. was ist fixen usw.)
    HijackThis-Chat oder willst du hier mitmachen Stellenausschreibung
    hilfestellung zur systembereinigung nur über das öffentliche Windows forum und keinesfalls über privatnachrichten oder email !!

  9. #9
    Forenbenutzer
    Registriert seit
    30.04.2006
    Beiträge
    38
    Ist erfolgt:

    http://www.thespykiller.co.uk/forum/...p?topic=2055.0

    Greez

    Wolfram

    Ist gemacht:

    http://www.thespykiller.co.uk/forum/...p?topic=2055.0

    Zitat Zitat von Speedy
    man wird die Datei finden, analysieren und
    an die Hersteller von Antivirus- und Anti-Spyware-Programmen weiterleiten.

    Somit haben du und andere User eine Chance,
    dass diese neue Infektion erkannt und entfernt werden kann.

    Ich gehe trotz dem noch von einem Fehlalarm aus.

    Greez

    Wolfram

    P.S. Habe eben vom Programmirer von ERUNT folgende Mail erhalten:

    Hallo,

    natürlich ist es ein Fehlalarm.

    Gruß
    Lars Hederer


    Wolfram schrieb:

    > Hallo,
    >
    > bitte folgenden Thread im HijackThis Forum mal lesen.Denn die
    > NTREGOPT.EXE wird als Trojaner infiziert gemeldet.
    >
    > Forum <http://www.hijackthis-forum.de/showthread.php?t=16940>
    >
    > Das kann doch irgendwie nur ein Fehlalarm sein?!
    >
    > Viele Grüße
    >
    > Wolfram
    Geändert von Wolferl (08.07.2006 um 14:04 Uhr)

  10. #10
    Supermod a.D. Avatar von Ruby
    Registriert seit
    25.01.2005
    Ort
    The Netherlands
    Beiträge
    20.038

    AW: Trojan.PWS.Banker.3682

    Laut Antwort von TonyKlein ist die Anwendung in Ordnung:

    Zitat Zitat von TonyKlein
    it's a legitimate application, I happen to have it as well...

    http://www.larshederer.homepage.t-on...runt/index.htm

Seite 1 von 2 12 LetzteLetzte

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Ähnliche Themen

  1. Trojan-Downloader
    Von Majestic im Forum Archiv
    Antworten: 10
    Letzter Beitrag: 01.06.2006, 19:41
  2. Trojan
    Von NICO im Forum Archiv
    Antworten: 19
    Letzter Beitrag: 17.03.2006, 00:11
  3. New and old Trojan
    Von labourr im Forum Archiv
    Antworten: 21
    Letzter Beitrag: 21.02.2006, 22:26
  4. Possible trojan... help, please!
    Von ziek999 im Forum Archiv
    Antworten: 1
    Letzter Beitrag: 16.11.2005, 21:34
  5. Help Concerning Trojan
    Von ArtInt im Forum Archiv
    Antworten: 3
    Letzter Beitrag: 12.07.2005, 02:08

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •