Gen:Variant.Kazy.14979

stz · 26.03.2011, 17:59

Hallo Helferleins.
Wer kennt diesen Virus, oder hat schon von diesem Virus, oder was immer es auch sei, gehört oder gelesen? Was tut er?
Ich habe diesen Virus plötzlich in einem Programm gefunden, dass vorher schon lange oft genug gescannt wurde und nie etwas gefunden wurde. Das Programm hatte nach dem Virusfund kein neueres Datum, seine Länge war auch ungeändert. Vergleiche mit, vor langer Zeit gesicherten, und nach dem Sichern nie genutzten, Kopien haben auch keine Unterschiede erbracht.
Der Virus wurde von GData erkannt und zwar ab dem Virenupdate vom 14.03.2011.
Interessanterweise habe ich diesen Virus heute (vorher nicht) in einem älteren Restorepoint gefunden, (diesen habe ich gelöscht).
Der Virus wird sonst nirgends auf dem PC gefunden. Und nun ganz was seltsames: wenn ich das Programm umbenenne auf z.B. .exx dann wird der Virus NICHT mehr darin gefunden.
Wer kann mir dafür eine Erärung geben?
M.f.G.
Stz.

Inzersdorfer · 26.03.2011, 20:26

Um einen Fehlalarm auszuschließen, die entspr. Datei bei Virustotal hochladen und prüfen laßen. Deinen Gen.Variant.Kazy.xxxx gibts schon.
Ev. dein System mit einer bootenden Rescue-CD dursuchen laßen, z.Bsp.Kaspersky:http://support.kaspersky.com/viruses/rescuedisk?level=2
Vorher das User Guide lesen, eine aktuelle Virendefinition auf einen USB Stick runterladen, die kann in die laufende Rescue-CD eingebunden werden.

Christoph · 26.03.2011, 20:43

Mehr Rescue-Disks findest Du da:

Von CD und Offline:
Avira Rescue System
http://www.avira.de/de/support/support_downloads.html
F-Secure Rescue CD:
http://www.f-secure.com/linux-weblog...rescue-cd-311/
Knoppicillin
http://www.heise.de/software/downloa..._edition/37894
Bitdefender Rescue CD
http://download.bitdefender.com/rescue_cd/
Dr.Web Live CD
http://www.freedrweb.com/livecd/?lng=en

oder: http://www.wcm.at/forum/showthread.p...ng-239371.html

stz · 27.03.2011, 10:41

Danke für die Tips, werde einige dieser Möglichkeiten probieren.
Hier noch eine neure Information:
Es gibt eine Seite : Virscan.org. Dort kann man ein File hochladen und es wird mit mehreren Virusscannern gecheckt. Anbei das Ergebnis für mein Prgramm als PDF-Datei.
Kaspersky hat hier nichts gefunden.

Kann mir jemand sagen was der Virus anstellt?

M.f.G.
Stz.

Inzersdorfer · 27.03.2011, 15:42

Genereische Funde muß man mit Vorsicht betrachten, hier sind Fehlalarme schnell möglich.

Übrigens, mein Sumatra mag deine pdf nicht, "kann nicht dargestellt werden".

stz · 27.03.2011, 16:24

Nimm Adobe Acrobat Reader, kost nix.

FendiMan · 27.03.2011, 19:41

Der Foxit-Reader ist kleiner und schneller.

Christoph · 27.03.2011, 20:49

Würde ich auch empfehlen, öffnet auch den Anhang problemlos, und man kann PDF-Dateien editieren.

Jetzt funzt auch die Foxit Seite wieder halbwegs, vormittags war ein Server Error, jetzt kommt man nicht auf die Seite mit den Sprachdateien.

Inzersdorfer · 27.03.2011, 21:42

Hab mir Sumatra 1.4 portable runtergeladen (1,54 MB !), die 1.01 war wohl doch geringfügig veraltet.
Der "Fettsack" Adobe Reader ist für mich nach einigen seltsamen Vorfällen mit der abgewählten Autoupdatefunktion seit 3 Jahren ein "no go".
Die Foxit-Seite laggt derzeit, und die Frage ob die Ask Suchleiste zuverläßig abgewählt werden kann, hält mich fern.
Den PDFExchangeViewer mußte ich vor 2 Jahren entfernen, der hat reproduzierbar zu Abstürzen geführt, wenn zu früh nach dem Systemstart ein pdf geöffnet wurde.

Trotzdem, danke für die Vorschläge.

TR/Kazy.xxx ist ein Javascript Trojaner, Aufgabe solcher Malware währe das Ausspähen z.Bsp. von Passwörtern oder das kapern des PC um ihn in ein Botnetz zu integrieren.
Hier empfielt sich dringend, weitere Maßnahmen zu setzten, MBAM http://www.malwarebytes.org/ oder HijackThis.
Christoph kann da wohl mehr dazu sagen.

stz · 28.03.2011, 14:56

@ Inzersdorfer
Ein Javascript-Trojaner? Soviel ich weiss läuft Javascript auf den diversen Browsern (IE, Mozilla, ...) und ist in html-Files enthalten.

Mein Programm ist aber ein, von einer CD installiertes Programm. Das kann natürlich in JAVA geschrieben sein, aber JAVA ist nicht JAVASCRIPT.

Inzwischen habe ich auch die alte CD gefunden von der das Programm installiert wurde. Ich habe das Programm deinstalliert, und den PC solange geputzt bis der Virus nicht mehr gefunden wurde, auch nicht mit einer BootCD (Rescue-CD). Dann habe ich versucht das Programm wieder zu installieren, und siehe da: der Virenwächter schlägt sofort Alarm und lässt mich nicht weiter installieren. Das ist ja auch soweit ganz gut so. Nur: der Virenscanner findet den Virus erst seit dem Virenupdate vom 14.03.2011.

Ob es sich hier nicht um einen Fehlalarm handelt? Der Virenscanner findet in dem Programm eine Codefolge die dem Virus enspricht ohne das es der Virus ist?
Sowas soll ja vorkommen.

Eure Meinung?

M.f.G.
Stz.

26.03.2011, 17:59	#1
stz Veteran Registriert seit: 22.10.2000 Beiträge: 353	Gen:Variant.Kazy.14979 Hallo Helferleins. Wer kennt diesen Virus, oder hat schon von diesem Virus, oder was immer es auch sei, gehört oder gelesen? Was tut er? Ich habe diesen Virus plötzlich in einem Programm gefunden, dass vorher schon lange oft genug gescannt wurde und nie etwas gefunden wurde. Das Programm hatte nach dem Virusfund kein neueres Datum, seine Länge war auch ungeändert. Vergleiche mit, vor langer Zeit gesicherten, und nach dem Sichern nie genutzten, Kopien haben auch keine Unterschiede erbracht. Der Virus wurde von GData erkannt und zwar ab dem Virenupdate vom 14.03.2011. Interessanterweise habe ich diesen Virus heute (vorher nicht) in einem älteren Restorepoint gefunden, (diesen habe ich gelöscht). Der Virus wird sonst nirgends auf dem PC gefunden. Und nun ganz was seltsames: wenn ich das Programm umbenenne auf z.B. .exx dann wird der Virus NICHT mehr darin gefunden. Wer kann mir dafür eine Erärung geben? M.f.G. Stz.

26.03.2011, 20:43	#3
Christoph Mod, bin gerne da Registriert seit: 09.11.1999 Ort: W, NÖ Alter: 74 Beiträge: 13.646	Mehr Rescue-Disks findest Du da: Von CD und Offline: Avira Rescue System http://www.avira.de/de/support/support_downloads.html F-Secure Rescue CD: http://www.f-secure.com/linux-weblog...rescue-cd-311/ Knoppicillin http://www.heise.de/software/downloa..._edition/37894 Bitdefender Rescue CD http://download.bitdefender.com/rescue_cd/ Dr.Web Live CD http://www.freedrweb.com/livecd/?lng=en oder: http://www.wcm.at/forum/showthread.p...ng-239371.html ____________________________________ Liebe Grüße Christoph Ein Kluger bemerkt alles, ein Dummer macht über alles seine Bemerkungen. (Heinrich Heine)

27.03.2011, 16:24	#6
stz Veteran Registriert seit: 22.10.2000 Beiträge: 353	@Inzersdorfer Nimm Adobe Acrobat Reader, kost nix.

27.03.2011, 19:41	#7
FendiMan Hochauflösend Registriert seit: 03.04.2001 Ort: Wien 10 Alter: 63 Beiträge: 9.641	Der Foxit-Reader ist kleiner und schneller. ____________________________________ Gruß FendiMan Bitte keine unnötigen Direktzitate, der Antworten-Button genügt!

27.03.2011, 20:49	#8
Christoph Mod, bin gerne da Registriert seit: 09.11.1999 Ort: W, NÖ Alter: 74 Beiträge: 13.646	Würde ich auch empfehlen, öffnet auch den Anhang problemlos, und man kann PDF-Dateien editieren. Jetzt funzt auch die Foxit Seite wieder halbwegs, vormittags war ein Server Error, jetzt kommt man nicht auf die Seite mit den Sprachdateien. ____________________________________ Liebe Grüße Christoph Ein Kluger bemerkt alles, ein Dummer macht über alles seine Bemerkungen. (Heinrich Heine)

26.03.2011, 20:26	#2
Inzersdorfer Veteran Registriert seit: 01.03.2011 Beiträge: 211	Um einen Fehlalarm auszuschließen, die entspr. Datei bei Virustotal hochladen und prüfen laßen. Deinen Gen.Variant.Kazy.xxxx gibts schon. Ev. dein System mit einer bootenden Rescue-CD dursuchen laßen, z.Bsp.Kaspersky:http://support.kaspersky.com/viruses/rescuedisk?level=2 Vorher das User Guide lesen, eine aktuelle Virendefinition auf einen USB Stick runterladen, die kann in die laufende Rescue-CD eingebunden werden.

27.03.2011, 15:42	#5
Inzersdorfer Veteran Registriert seit: 01.03.2011 Beiträge: 211	Genereische Funde muß man mit Vorsicht betrachten, hier sind Fehlalarme schnell möglich. Übrigens, mein Sumatra mag deine pdf nicht, "kann nicht dargestellt werden".

27.03.2011, 21:42	#9
Inzersdorfer Veteran Registriert seit: 01.03.2011 Beiträge: 211	Hab mir Sumatra 1.4 portable runtergeladen (1,54 MB !), die 1.01 war wohl doch geringfügig veraltet. Der "Fettsack" Adobe Reader ist für mich nach einigen seltsamen Vorfällen mit der abgewählten Autoupdatefunktion seit 3 Jahren ein "no go". Die Foxit-Seite laggt derzeit, und die Frage ob die Ask Suchleiste zuverläßig abgewählt werden kann, hält mich fern. Den PDFExchangeViewer mußte ich vor 2 Jahren entfernen, der hat reproduzierbar zu Abstürzen geführt, wenn zu früh nach dem Systemstart ein pdf geöffnet wurde. Trotzdem, danke für die Vorschläge. TR/Kazy.xxx ist ein Javascript Trojaner, Aufgabe solcher Malware währe das Ausspähen z.Bsp. von Passwörtern oder das kapern des PC um ihn in ein Botnetz zu integrieren. Hier empfielt sich dringend, weitere Maßnahmen zu setzten, MBAM http://www.malwarebytes.org/ oder HijackThis. Christoph kann da wohl mehr dazu sagen. Geändert von Inzersdorfer (27.03.2011 um 22:07 Uhr).

28.03.2011, 14:56	#10
stz Veteran Registriert seit: 22.10.2000 Beiträge: 353	Ad Gen:Variant.Kazy.14979 @ Inzersdorfer Ein Javascript-Trojaner? Soviel ich weiss läuft Javascript auf den diversen Browsern (IE, Mozilla, ...) und ist in html-Files enthalten. Mein Programm ist aber ein, von einer CD installiertes Programm. Das kann natürlich in JAVA geschrieben sein, aber JAVA ist nicht JAVASCRIPT. Inzwischen habe ich auch die alte CD gefunden von der das Programm installiert wurde. Ich habe das Programm deinstalliert, und den PC solange geputzt bis der Virus nicht mehr gefunden wurde, auch nicht mit einer BootCD (Rescue-CD). Dann habe ich versucht das Programm wieder zu installieren, und siehe da: der Virenwächter schlägt sofort Alarm und lässt mich nicht weiter installieren. Das ist ja auch soweit ganz gut so. Nur: der Virenscanner findet den Virus erst seit dem Virenupdate vom 14.03.2011. Ob es sich hier nicht um einen Fehlalarm handelt? Der Virenscanner findet in dem Programm eine Codefolge die dem Virus enspricht ohne das es der Virus ist? Sowas soll ja vorkommen. Eure Meinung? M.f.G. Stz.

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)