Trojaner
 

Mein AntiVir hat im FS9 einen Trojaner entdeckt. Nun frage ich mich, wie der da drauf kam. Bevor ich die aus dem Internet runtergeladenen Dateien entzippe, prüfe ich sie mit AntiVir. Muss ich etwa, um den Virus zu entdecken, zuerst die Datei entzippen und dann mit AntiVir prüfen?

Hallo Uli,

Deine Vorgehensweise ist schon genau richtig. Du brauchst also die Dateien nicht erst zu entzippen, um sie dann mit AntiVir prüfen zu können. Das erledigt das Programm auch bei Zip-Dateien.

Ich vermute aber, daß es gar nicht unbedingt ein Trojaner ist, den AntiVir da entdeckt hat. Das Programm, das ich selbst auch schon seit Jahren benutze, ist nämlich bekannt dafür, daß es auch schon mal einen falschen Alarm gibt.

Aber wie bist Du denn nun weiter verfahren? Hast Du das Löschen des "Trojaners" veranlaßt? Wenn ja, sollte ja bei einem erneuten Virenscan nichts mehr gefunden werden.

Gruß
Erich

Eigentlich nicht...
 

Sollte ein guter Scanner eigentlich finden...

Evtl. ist es auch nicht über ein Free Addon gekommen...

Manche Trojaner bzw. Schleuserprogramme sind auch in der Lage sich selbst zu vervielfältigen und "irgendwohinn" zu kopieren...

Welcher war es denn?

Gruß

Superburschi

Der Name ist: rmlbfz02.exe. Ich habe ihn zunächst in Quarantäne verbannt.

Ich habe danach gegoogelt, aber nichts dazu gefunden.

Unbekannt
 

Das kennt keiner, eventuell ein Fehler beim Scanner...

Lade die Datei mal auf dieser Seite in den Online Virenscanner und schau mal was da gescannt wird...

ist eine nützliche Sache...

Gruß

Superburschi

Auf der Homepage von Antivir läßt sich diese Datei sogar runterladen ?!?!?

Hallo Uli,

ich habe auf meinem Rechner ein kleines Programm, mit dessen Hilfe Du Dir den Inhalt dieser exe-Datei mal ansehen kannst. Die Datei muß dafür nicht geöffnet werden, sondern dieses Programm ResHack analysiert die fragliche exe und zeigt Dir deren Inhalt an. Sicher kann man dann auch erkennen, ob es sich vielleicht wirklich um einen Teil eines Addons handeln könnte.

Hatte den Link zum Download hier mal gepostet:
http://www.wcm.at/forum/showthread.p...hlight=reshack

Leider ist das Programm dort aber nicht mehr auf dem Server. Wenn Du Interesse daran hast, schreib einfach noch mal. Ich lade es dann erneut auf den Server. Hat natürlich nur dann einen Sinn, wenn Du Dich da auch rantraust. Viele Leute haben ja eine panische Angst vor Viren und Trojanern :-)

Gruß
Erich

Hallo Erich,

danke für die Info. Dann lade das Programm mal hoch und poste den Link.

schon passiert. Hier der Link:

http://up2.viploader.net/mini/src/viploader90970.zip

Viel Erfolg :hallo:
Erich

Ich habe nun ResHack. Aber wo finde ich jetzt die in Quarantäne verbannte Datei? Im Log. vom AntiVir ist der Pfad nicht angegeben.

Die Datei ist von AntiVir in 45e6a544.qua umbenannt worden und ich finde sie über ResHack nicht.

Die Quarantäne ist wohl sehr wirkungsvoll. LOL.

Normalerweise unter:

laufwerk:\programme\AVPersonal\INFECTED\

Gruß

Superburschi

nööööööööö, dort gibt es keine "infected".

Sorry Uli, aber da muß ich leider passen. Und außerdem, was soll der Streß? Wenn die Datei nun irgendwo in Quarantäne liegt und ohnehin nicht mehr ausgeführt werden kann, dann solltest Du das ganze einfach vergessen.

Wäre ja mal interessant gewesen, einen Blick reinzuwerfen. Aber wo Du die Datei jetzt finden kannst, weiß ich beim besten Willen nicht.

Also vergiß es und genieße das Wochenende :bier:

Tschüß
RErich

Stress mache ich mir damit nicht. Scheint ja alles im Griff zu sein.

Vielen Dank für eure Hilfe. :bier:

start -> suchen -> geänderter Dateiname eingeben :D

Gruß

Superburschi

Die Suche ergab folgenden Pfad:

C/Dokumente und Einstellungen/All Users/Anwendungsdaten/AntiVir Peronal Edition Classic/INFECTED

Aber die Datei konnte mit ResHacker nicht geöffnet werden. Liegt wohl an der Datei-Endung .qau.

Das liegt wohl daran, daß es ja jetzt keine exe-Datei mehr ist, sondern jetzt die Dateiendung .qua trägt. Wenn Du besonders experimentierfreudig bist, könntest Du ja die Endung wieder in .exe verändern. Oder Du läßt es wirklich so, wie es ist und vergißt das ganze.

Gruß
Erich

So, genug. Danke an alle http://www.cheesebuerger.de/images/m...ilder/a010.gif

na dann, kannst die Datei ja mal bei dem Link, den ich vorhin gepostet hab, hochladen und gucken was die Auswertung der Seite ergibt...

Falls Du noch auf supersicher gehen willst, im Netz findest Du auf www.hijackthis.de ein Tool zum Systemcheck, das ist richtig gut, es scannt Dein laufendes System auf die Threads, die grade laufen oder in der Sitzung bisher gestartet wurden, dann gibts dazu ein Logfile, das kannst Du dann auf der hijackthis.de analysieren lassen und dann gibt es da Infos die wirklich sehr einfach nachvollziehbar sind...

Der Nebeneffekt ist: Zu jeder Aktivität gibt es dort Informationen wieso und was das ist, da kannst Du eventuel Dein System mal etwas von Sachen befreien, die Du nicht mehr brauchst..

Gruß

Superburschi