|
Winlogon.exe - Trojaner Bamital.206 - Fehlmeldung? Hallo alle zusammen! Ich habe da ein kurioses Problem: Heute habe ich auf insgesamt 5 Rechnern (Alle XP SP3) via "TrojanerHunter" in 2 Ordnern einen sog. Trojaner names "Bamital.206" gefunden. Und zwar in den folgenden Ordnern: http://www.bilder-hochladen.net/files/3qve-c4.jpg Also einmal in dem system32 Ordner und einmal im ServicePackFiles Ordner. Das Kuriose ist, dass ich das gestern bei meiner Freundin, die Windows 7 hat, auch gefunden habe UND das kein anderes Viren- & Trojanerprogramm diese angeblichen Trojaner gefunden hat. Ich habe diverse Programme nun auf jedem XP-PC laufen gelassen ( Avast, Avira, AV, Spybot, Malwarebyte etc. etc. ), doch keiner der Freeware Programme zeigte mir auch nur eine Abweichung an. Was ist hier nun los auf all meinen Rechnern? Ist das nur ein Fehlalarm seitens des Programms oder habe ich mir unwissentlich ein Schadprogramm via USB Stick von Rechner zu Rechner getragen und das ist so neu oder speziell, dass nur ein Programm das erkennt? Hoffe, Ihr wisst Rat!? Viele Grüße Troy Nachtrag: Alle Rechner sind auf dem neuesten Stand, geupdatet etc.! Ich habe grad mal noch "Trojan Remover" ausprobiert.... der erkennt nix. Also, kurioserweise nur "Trojan Hunter" erkennt diesen Bamital Trojaner. Was soll ich nun davon halten? Gruß |
Weiß denn keiner Rat? Oder bin ich falsch hier? Gruß |
Hallooooooo |
Hallo und :hallo: Zitat:
Zitat:
Lass die beanstandeteten Dateien bitte mal hier Virustotal, hier virscan.org oder hier Jotti überprüfen (kann einige Minuten dauern), poste die gesamten Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben oder verlinke auf die Auswertung, bitte auch wenn nichts gefunden wurde. MFG |
Hi! Das tut mir Leid, das habe ich nicht gelesen! Werde ich mir merken! Also, habe die beiden Dateien bei Virus Total hochgeladen. Folgendes ist passiert: Die Datei im System32 Ordner: File name: winlogon.exe Submission date: 2011-02-10 09:30:33 (UTC) Current status: queued queued analysing finished Result: 1/ 41 (2.4%) VT Community goodware Safety score: 95.6% Compact Print results Antivirus Version Last Update Result AhnLab-V3 2011.02.06.00 2011.02.06 - AntiVir 7.11.3.32 2011.02.09 - Antiy-AVL 2.0.3.7 2011.02.10 - Avast 4.8.1351.0 2011.02.09 - Avast5 5.0.677.0 2011.02.09 - AVG 10.0.0.1190 2011.02.09 - BitDefender 7.2 2011.02.10 - CAT-QuickHeal 11.00 2011.02.10 - ClamAV 0.96.4.0 2011.02.10 - Commtouch 5.2.11.5 2011.02.10 - Comodo 7638 2011.02.10 - DrWeb 5.0.2.03300 2011.02.10 - eSafe 7.0.17.0 2011.02.09 - eTrust-Vet 36.1.8151 2011.02.10 - F-Prot 4.6.2.117 2011.02.04 - F-Secure 9.0.16160.0 2011.02.10 - Fortinet 4.2.254.0 2011.02.09 - GData 21 2011.02.10 - Ikarus T3.1.1.97.0 2011.02.10 - Jiangmin 13.0.900 2011.02.10 - K7AntiVirus 9.82.3806 2011.02.10 - McAfee 5.400.0.1158 2011.02.10 - McAfee-GW-Edition 2010.1C 2011.02.08 - Microsoft 1.6502 2011.02.10 - NOD32 5860 2011.02.09 - Norman 6.07.03 2011.02.09 - nProtect 2011-01-27.01 2011.02.02 Trojan-Downloader/W32.Small.513024 Panda 10.0.3.5 2011.02.09 - PCTools 7.0.3.5 2011.02.09 - Prevx 3.0 2011.02.10 - Rising 23.44.02.05 2011.02.09 - Sophos 4.61.0 2011.02.10 - SUPERAntiSpyware 4.40.0.1006 2011.02.10 - Symantec 20101.3.0.103 2011.02.10 - TheHacker 6.7.0.1.126 2011.02.08 - TrendMicro 9.200.0.1012 2011.02.10 - TrendMicro-HouseCall 9.200.0.1012 2011.02.10 - VBA32 3.12.14.3 2011.02.09 - VIPRE 8368 2011.02.10 - ViRobot 2011.2.10.4302 2011.02.10 - VirusBuster 13.6.191.0 2011.02.09 - Und die Datei im ServicePackFiles Ordner: Antivirus Version Last Update Result AhnLab-V3 2011.02.06.00 2011.02.06 - AntiVir 7.11.3.32 2011.02.09 - Antiy-AVL 2.0.3.7 2011.02.10 - Avast 4.8.1351.0 2011.02.09 - Avast5 5.0.677.0 2011.02.09 - AVG 10.0.0.1190 2011.02.09 - BitDefender 7.2 2011.02.10 - CAT-QuickHeal 11.00 2011.02.10 - ClamAV 0.96.4.0 2011.02.10 - Commtouch 5.2.11.5 2011.02.10 - Comodo 7638 2011.02.10 - DrWeb 5.0.2.03300 2011.02.10 - Emsisoft 5.1.0.2 2011.02.10 - eSafe 7.0.17.0 2011.02.09 - eTrust-Vet 36.1.8151 2011.02.10 - F-Prot 4.6.2.117 2011.02.04 - F-Secure 9.0.16160.0 2011.02.10 - Fortinet 4.2.254.0 2011.02.09 - GData 21 2011.02.10 - Ikarus T3.1.1.97.0 2011.02.10 - Jiangmin 13.0.900 2011.02.10 - K7AntiVirus 9.82.3806 2011.02.10 - Kaspersky 7.0.0.125 2011.02.10 - McAfee 5.400.0.1158 2011.02.10 - McAfee-GW-Edition 2010.1C 2011.02.08 - Microsoft 1.6502 2011.02.10 - NOD32 5860 2011.02.09 - Norman 6.07.03 2011.02.09 - nProtect 2011-01-27.01 2011.02.02 Trojan-Downloader/W32.Small.513024 Panda 10.0.3.5 2011.02.09 - PCTools 7.0.3.5 2011.02.09 - Prevx 3.0 2011.02.10 - Rising 23.44.02.05 2011.02.09 - Sophos 4.61.0 2011.02.10 - SUPERAntiSpyware 4.40.0.1006 2011.02.10 - Symantec 20101.3.0.103 2011.02.10 - TheHacker 6.7.0.1.126 2011.02.08 - TrendMicro 9.200.0.1012 2011.02.10 - TrendMicro-HouseCall 9.200.0.1012 2011.02.10 - VBA32 3.12.14.3 2011.02.09 - VIPRE 8368 2011.02.10 - ViRobot 2011.2.10.4302 2011.02.10 - VirusBuster 13.6.191.0 2011.02.09 - Also exakt dasselbe Ergebnis. Was sagt mir das jetzt? Wie bei Wer wird Millionär, wenn die das Publikum, also die Mehrheit für was abgestimmt hat, dann stimmt es in der Regel, oder sollte ich misstrauisch sein und dem "nProtect" glauben und etwas gegen den angeblichen Trojaner tun? Kann ich beide winlogon Dateien durch andere ersetzen? Von der Original-CD oder ist die sonst noch wo auf dem Rechner? Eiei.... herzlichen Dank schon mal für die Hilfe!!! Gruß |
Hallo lade die Dateien bitte mal hier hoch Submit your sample als verdächtige Datei. Poste bitte das Ergebnis hierher. MFG |
Jetzt gehts aber schnell :-) Also, hab die Dateien grad noch bei virscan.org hochgeladen: Scan Ergebnis Scan Ergebnis : 5% der Scanner (2/37) haben Malware gefunden! Zeit : 2011/02/10 10:53:30 (CET) Scanner ↓ Engine Ver Sig Ver Sig Datum Scan Ergebnis Zeit a-squared 5.1.0.2 20110209020254 2011-02-09 - 25.453 AhnLab V3 2011.02.10.00 2011.02.10 2011-02-10 - 14.784 AntiVir 8.2.4.162 7.11.3.32 2011-02-09 - 0.280 Antiy 2.0.18 2.0.18. 0002-18-00 - 0.017 Arcavir 2010 201102101457 2011-02-10 - 0.163 Authentium 5.1.1 201102100120 2011-02-10 W32/Swizzor-based.2!Maximus (Heuristic) 2.656 AVAST! 4.7.4 110209-1 2011-02-09 - 0.039 AVG 8.5.850 271.1.1/3433 2011-02-10 - 0.291 BitDefender 7.90123.6727214 7.36167 2011-02-10 - 6.646 ClamAV 0.96.5 12654 2011-02-10 - 0.126 Comodo 4.0 7638 2011-02-10 - 3.080 CP Secure 1.3.0.5 2011.02.09 2011-02-09 - 0.056 Dr.Web 5.0.2.3300 2011.02.10 2011-02-10 - 13.908 F-Prot 4.4.4.56 20110209 2011-02-09 Possible W32/Swizzor-based.2!Maximus 8.296 F-Secure 7.02.73807 2011.02.10.01 2011-02-10 - 16.089 Fortinet 4.2.254 12.878 2011-02-09 - 9.915 GData 21.1761/21.677 20110210 2011-02-10 - 40.156 Ikarus T3.1.32.15.0 2011.02.10.77704 2011-02-10 - 6.971 JiangMin 13.0.900 2011.02.10 2011-02-10 - 20.642 Kaspersky 5.5.10 2011.02.09 2011-02-09 - 0.701 KingSoft 2009.2.5.15 2011.2.10.11 2011-02-10 - 4.392 McAfee 5400.1158 6252 2011-02-09 - 16.839 Microsoft 1.6502 2011.02.10 2011-02-10 - 13.299 NOD32 3.0.21 5856 2011-02-08 - 0.005 Norman 6.06.12 6.06.00 2011-01-18 - 22.039 nProtect 20110209.01 3138159 2011-02-09 - 40.150 Panda 9.05.01 2011.02.09 2011-02-09 - 40.331 Quick Heal 11.00 2011.02.10 2011-02-10 - 40.136 Rising 20.0 23.44.02.05 2011-02-09 - 40.131 Sophos 3.16.1 4.62 2011-02-10 - 3.085 Sunbelt 3.9.2474.2 8367 2011-02-09 - 40.152 Symantec 1.3.0.24 20110209.002 2011-02-09 - 0.082 The Hacker 6.7.0.1 v00126 2011-02-08 - 40.129 Trend Micro 9.200-1012 7.828.06 2011-02-09 - 0.041 VBA32 3.12.14.3 20110209.1149 2011-02-09 - 4.248 ViRobot 20110209 2011.02.09 2011-02-09 - 3.586 VirusBuster 5.2.0.28 13.6.191.0/4463626 2011-02-09 - 0.002 .... also 2 Ergebnisse! Avira sagte mir das hier zu beiden Dateien: Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt: Datei ID Dateiname Größe (Byte) Ergebnis 4248497 winlogon.exe 501 KB KNOWN CLEAN Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt: Dateiname Ergebnis winlogon.exe KNOWN CLEAN Die Datei 'winlogon.exe' wurde als 'KNOWN CLEAN' eingestuft. Dies bedeutet, dass wir keine gefährlichen Inhalte finden konnten. Weiterhin haben wir festgestellt, dass diese Datei ein Bestandteil von 'Microsoft Windows XP (SP3) ' ist. Und nun? |
Zusammengefasst habe ich nun in 2 winlogon - Dateien folgende Viren/Trojaner lt. der oben genannten Testprogramme: - Trojaner Bamital.206 - Trojan-Downloader/W32.Small.513024 - W32/Swizzor-based.2!Maximus (Heuristic) .... wenn ich das richtig verstanden habe. Was kann ich nun tun? |
Jooti findet im Übrigen keine Trojaner / Viren: hxxp://virusscan.jotti.org/de/scanresult/5a458fc08625086f251a5d55b24e0a78cefe4db5/abe47dd77469ce0f489c8a2ce70fab914e6d3684 Achja, zu dem 1. Post: Die Winlogon - Datei ist 501 kb groß und "wurde geändert" am 14.04.2008. Gruß + DANKE |
Hallo am Ende (klick auf show all) der Auswertung bei Virustotal wurde etwas angezeigt wie Zitat:
MFG |
So, jetzt hab ich alles nochmal ganz genau unter die Lupe genommen: Das Problem mit dem Bamital Trojaner hab ich auf allen XP Rechnern, nicht aber auf den Windows 7 Rechnern. Die Fehlermeldung kommt auch nur bei dem Programm TrojanHunter. Wenn man den Programmnamen mit Bamital googelt, kommen auch viele Ergebnisse anderer User, nur eine gute Lösung dazu will ich einfach nicht finden :-( Die Ergbnisse bei VirusTotal sind auch immerzu gleich.... Hier der fehlende Teil ( tschuldige mein Versäumnis :-) ): 1 VT Community user(s) with a total of 195 reputation credit(s) say(s) this sample is goodware. 1 VT Community user(s) with a total of 9 reputation credit(s) say(s) this sample is malware. File name: winlogon.exe Submission date: 2011-02-10 17:20:03 (UTC) Current status: queued queued analysing finished Result: 1/ 43 (2.3%) ............ Additional information Show all MD5 : f09a527b422e25c478e38caa0e44417a SHA1 : b180bed1bca42ae4cef259697c3d21320026752b SHA256: 8e4d860c5c753b657a1bcb42579556e582cbdaabf07eae59f81519ac6997accb VT Community 2 User: home">SETI@home Reputation: 195 credits Comment date: 2010-08-13 17:37:10 (UTC) Tags: Goodware, Was this comment helpful? Yes (3) | No (1) | Report abuse Reported as abuseful User: Jumbo12 Reputation: 9 credits Comment date: 2010-12-29 10:26:59 (UTC) This Software install a Trojan Horse in the Systemfolders don´t activate it! Tags: Malware, NetworkWorm, small, 513024 Was this comment helpful? Yes (2) | No (0) | Report abuse Hoffe, meine Ausführungen sagen Euch etwas bzw. Ihr könnt mir nun sagen, was los ist.... vielleicht liegts nur an dem Programm Trojanhunter? Aber was ist dann mit dem Ergbniss von VirusTotal, wo zumindest der nprotect Scan mir sagt: nProtect 2011-01-27.01 2011.02.02 Trojan-Downloader/W32.Small.513024 ... ich also wohl noch einen Trojaner habe? Hilfe :-) |
Hallo also ich halte die Meldung für einen Fehlalarm, da die MD5 sowie auch die Größe der Datei stimmen. NProtect ist meiner Meinung nach nicht unbedingt eine Referenz ....:heilig: Warte mal einige Updates von "TrojanerHunter" ab, meist dauert es nicht lange und die Falschmeldung werden behoben. Berichte die nächsten Tage nochmal. MFG |
Hallo! Dank Dir für die schnelle Antwort! Ok, ich hab grad den Fall mal an den Entwickler von TrojanHunter geschickt. Mal seh'n, ob die mir antworten. Sitzen wohl in England. Also, dann warte ich mal ab :-) Viele Grüße sendet Dir / Euch und es dankt allen, die mir geholfen haben troy |
Tja... einmal hat man bis dato reagiert, einen Tag nachdem ich die Firma angeschrieben habe. Die wollten die Original winlogon Datei. Gesagt, getan. Bis dato habe ich nix mehr von denen gehört... auch nachdem ich mittlerweile 2 Mal nachgefasst habe. Seltsam... |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:48 Uhr. |
Copyright ©2000-2025, Trojaner-Board