Ein Freund bekam eine selbst erstellte Diashow gepackt zugeschickt. Beim Entpacken meldete sich Avira und schrieb ihm eine Warnung auf den Monitor. Er hörte nicht auf seinen genialen Enkel, der ihm riet, Avira zu deaktivieren, sondern rief mich zu Hilfe.
Ich hab das Dingens mal entpackt und mit der neuesten Rescue- CD von Avira gescannt.
Diese Meldung:
ALERT: [TR/Delf.ageo] /media/Disks/E:__(187.3G)/Eigene Dateien/DiaShow Kroatien/start.exe
<<< Is the Trojan horse TR/Delf.ageo
So richtig Aussagekräftiges habe ich zu einem Trojaner "Delf.ageo" nicht gefunden.
Eure Meinung dazu bitte?
Links ist das AV-Programm, dann folgt die Versionsnummer und das letzte Update dieses Programms.
In der rechten Spalte sind die Ergebnisse: (Result)
Alle die einen Strich haben, haben die Datei ohne Probleme geprüft.
Alles andern vermuten das, was in ROT dahinter steht.
Antivir hat in der Tat einen TR/Delf.ageo gefunden. Andere auch, aber auch wiederum andere Trojaner.
Ich vermute hier einen "Positive False" - eine Falschmeldung.
Jetzt hab ich es auch vom Deutschen Scanner bekommen: http://virusscan.jotti.org/de/scanresult/1d2718ccd9e936c29cecf0090a4bdc4f880a2699/2faaa8abd162da32ed262b504cd798ba37bdeb3e
Aber so richtig sagt mir das auch nichts - nur das manche Scanner etwas finden, andere nicht.
Aber das wußte ich auch schon -wenn auch nicht so konkret- zuvor.
Will sagen - das Ergebnis ist (für mich jedenfalls) das Gleiche, wie die Bauernweisheit
"Wenn der Hahn kräht auf dem Mist, ändert sich das Wetter. Oder es bleibt, wie es ist!"
Ich werde meinem Bekannten raten, die Datei (Diashow) nicht zu starten.
Wurde möglicherweise auf einem PC mit gecracktem Programm (DiaShow) erstellt.
Scheint im Übrigen häufiger vorzukommen, dass das Virenscanner murren. :-)
Naja, weißt Du - einen Virenscanner hat man eigentlich präzise dafür installiert, das sie einen warnen.
Es bringt da meiner Meinung nach absolut nichts, wenn man dann das Wunschdenken entscheiden läßt "ach, ist bloß ne Fehlmeldung!"
Immerhin meldet sein kostenloses Avira das Gleiche, wie mein mit guten (?) Euros bezahltes.
Da kann ich mir die Geldausgabe gleich sparen und durch mein Bauchgefühl ersetzen.
Solange man mir nicht klar und deutlich sagt "Das ist eine Fehlmeldung!"- solange werde ich diese Meldung als eine Warnung behandeln.
Denn erweist sich diese Meldung als richtig, dann dauert es garnicht lange und der Paketdienst bringt mir wieder einen gut verpackten PC, den ich neu installieren darf.
Was mir nicht unbedingt immer Vergnügen bereitet.
Mit diesen Daten bewaffnet könntest DU -wenn Du für Deinen Kumpel sicher gehen willst- folgende Adressse http://www.aquasoft.de/Support_Index.as anschreiben und dort hinterfragen, ob die Dateigröße der Originaldatei mit dieser Version übereinstimmt.
Denn wenn die Version von Deinem Kumpel größer ist, als diese sein sollte, weißt Du das da was faul ist.
Hat also nicht das geringste mit "Bauchgefühl" zu tun, sondern ist eher ein lösungsorientierter Ansatz.
Nein, Hugo - so habe ich das schon richtig verstanden und das auch ausgeführt.
Zwar nicht zu Aquasoft geschickt, dafür aber zu Avira.
Mein Posting bezog sich nicht darauf - sondern nur aus die Bemerkung, das sich Virenscanner auch mal irren.
Was zweifellos korrekt ist.
Und wie ich mit dieser Möglichkeit umgehe.
Will sagen: Die verdächtige Datei gilt bei mir solange als Schuldig!, bis ihre Unschuld zweifelsfrei erwiesen ist.
Woher willst Du diese zweifelsfreie Aussage denn bekommen?
Eine für mich zweifelsfreie Aussage ist
- wenn ich die Datei scanne und es wird keine Warnung angezeigt.
- wenn ich die Datei zu Avira einschicke und die mir antworten, das diese Datei nicht korrumpiert ist.
Meine Aussage "Die verdächtige Datei gilt bei mir solange als Schuldig!, bis ihre Unschuld zweifelsfrei erwiesen ist"
Ist natürlich nicht als Rechts- Standart (d) zu verstehen, sondern als eine persönliche Einstellung zu diesem Problem.
Eine Datei, von der ein beliebiger installierter Virenscanner (sozusagen der Virenscanner meines Vertrauens) behauptet, sie könnte korrumpiert sein, wird auf keinem meiner PCs ausgeführt, geöffnet.
Sie wird gelöscht.
Und ich schaue mich nach einem Ersatz um.
Eine Datei, von der ein beliebiger installierter Virenscanner (sozusagen der Virenscanner meines Vertrauens) behauptet, sie könnte korrumpiert sein, wird auf keinem meiner PCs ausgeführt, geöffnet.
Oft genug gibt es aber falsch-positive Meldungen. Virenscanner reagieren überempfindlich und bezichtigen eine Datei einer schädigenden Wirkung, die sie gar nicht hat. Diese Dateien machst Du dann alle platt?
Es ist recht selten, das mein AviraAntivir Prof eine solche Meldung abgibt, mawe2.
Das tut sie im allgemeinen nur bei Keygeneratoren und sonstigen Patches - und da habe ich keine auf meinem Haupt- PC. Nur auf der Testmaschine.
Wenn auf meinem Haupt- PC eine solche Meldung erscheint, wird die Datei nicht ausgeführt, sondern in Quarantäne geschickt.
Dann sehe ich mich nach einem Ersatz um.
Diese (möglicherweise übertriebene) Vorsicht ist sicher der Grund, weshalb ich trotz fehlendem Admin- PW und ausschließlichem Arbeiten mit dem Admin- Konto noch immer einen nicht korrumpierten PC besitze. Jedenfalls nach meinen Erkenntnissen.
Wenn AVG mir was meldet, dann schicke ich es denen direkt ins Labor.
Innerhalb weniger Stunden habe ich Antwort und bei Bedarf ist das in der Datenbank drin.
Hallo Jüki,
Alternativ haben Sie die Möglichkeit, die verdächtige Datei über unsere Webseite an uns zu senden: http://www.avira.de/sample-upload
gruß Presla
Meine abschließenden und natürlich recht laienhaften Erkenntnisse (im Zusammenhang mit der Aussage vom Avira- Virenlabor) -
Diese "start.exe" beinhaltet kein Schadprogramm.
Aber mit Teilen der (unglücklich programmierten) Programmstruktur ermöglicht es diese exe Schadprogrammen Zugang zum System zu finden - wie es Dropper tun.
Eine Brücke wird gebaut. Und wird als Solche sogar dann erkannt, wenn die Heuristik auf niedrigste Stufe gestellt wird.
Wie mir auf persönlicher Ebene bekannt wurde, hätte Aquasoft von Avira gefordert, das eine Ausnahmeregelung eingearbeitet wird, da eine Umprogrammierung zu aufwändig sei.
Avira hätte dies wegen des möglichen Gefahrenpotentials abgelehnt.
Also bleibt es dabei.
Diashows werden mit dem Vorläufer der jetzigen Diashow hergestellt. Deren Programmierung ist ungefährlich.
Jürgen
PS: Übetriebene Vorsicht?
Möglich. Aber mir ist ein stabiler und sicherer PC allemal sehr viel mehr wert, als ein neues Programm.
Es gibt inzwischen eine "Start.exe", welche die gewünschte Signatur enthält.
Hier zu laden: http://www.aquasoft.de/download/files/Start.zip
Die bemängelte Start.exe löschen und durch diese ersetzen.
Klappt!
peterson
jueki
winnigorny1
Hugo20
presla
