Viren-Attacke? Fast jeder Download verseucht

[derPaterick]

So langsam bekommt das Image des Usenets als geniales Downloadarchiv doch erste Risse bei mir.
Trotz aktuellem Virenscanner habe ich mir etwas nettes eingefangen, und fast jeder Download eines Programmes / Spiels war die letzten Male verseucht.

Beispiel 1: Dragon Naturally Speaking, eine Spracherkennungssoftware. Mehrere Versionen finden sich mit Binsearch und NZBclub, natürlich alle schön groß und vernünftig aussehend. Image gemounted, tätäää: Antivir meldet sich. Runter damit, nächste Version laden und mounten: Dasselbe Spiel. Irgendwann wurde es mir dann zu blöde.

Beispiel 2: Fallout: New Vegas.
Ebenfalls mehrere Versionen, alle nicht die übliche < 1 MB Virenplörre, sondern schöne, fette Images.
Und auch hier: Antivir im Dauereinsatz.

Nach dem nächsten Neustart dann eine nette Überraschung: Mein Windows wird durch einen Scareware-Trojaner geblockt, der mir einen Malwarescanner andrehen will. Toll - Da hab ich dann doch erstmal mit einem Kollegen einen drauf machen müssen, um wieder runterzukommen

Nein, mal im Ernst: Ich will mich nicht auf irgendwelche Foren verlassen müssen, aber anscheinend habe ich ja keine Wahl. Oder war das jetzt eine Ausnahme?

[xXNightfoXx]

Also ich kann nicht beurteilen, wie häufig das vorkommt, jedoch is AntiVir gerne en bisschen empfindlich.

Meiner Erfahrung nach meldet AntiVir häufiger Viren wo definitiv keine sind, als andere Scanner.

Jedoch weißen gerade Cracks gerne Scriptteile auf die denen von Viren ähnlich sind uns produzieren dadurch unter anderem Falschalarme.

Das soll jez aber nicht bedeuten, dass es definitiv Falschalarme sind und bedeutet keinerlei Entwarnung in deinem Fall.

[sinus25]

@derPaterick
Dann nimm mal die AntiVir Recue System CD.

[QBuS]

Die meisten "Profis" hier werden dir nun eh raten, den Virenscanner einfach auszuschalten oder zu deinstallieren, dann gibts auch keine Warnmeldungen mehr und das Problem is gelöst

[Shadow27374]

Vielleicht nur noch Scenereleases laden?...

[darkside40]

Eine Scene Release kann man jedoch auch immer elative einfach im nachhinein verändern.

Die Frage ist ja auch immer welche Meldung der Virenscanner ausspuckt.
Handelt es sich dabei um einen echten Virus oder meckert der Scanner weil ein Crack enthalten ist. Der muss nicht unbedingt Schadhaft sein.

Ich würde eher zur Releases aus Foren greifen, wo andere Leute die Downloads schon mal geprüft haben.

[Nelson87]

Also bei Programmen bin ich schon seit einiger Zeit dazu übergangen erstmal alles in einer Sandbox zu installieren und zu schauen was da so alles passiert.

Bei Angeboten aus Usenet Foren hatte ich bis jetzt auch noch keine Probleme. Viel Mist kann man aber finden wenn man über die Suchmaschinen sucht. Wie ich bei einer portablen Photoshop Version festellen durfte.

[derPaterick]

Und weiter, weiter, weiter gehts: "Alice - Madness Returns", das Szenerelease - Infiziert! Ein anderer Download - Infiziert!, obwohl der Virus dann ausnahmsweise mal nicht im Crack, sondern wohl in einer sinnlosen Zusatzdatei rumlag.

Fällt das denn niemandem außer mir auf? Ist Antivir vielleicht einfach zu empfindlich... ?

[MSX]

Die meisten "Profis" hier werden dir nun eh raten, den Virenscanner einfach auszuschalten oder zu deinstallieren, dann gibts auch keine Warnmeldungen mehr und das Problem is gelöst

Man kann kindisch irgendwas daherplärren, oder man kann faktisch argumentieren, denn so einfach ist das nicht und wird auch nicht behauptet, aber bitte, jedem das, was ihm am besten liegt.

[xXNightfoXx]

Wie wärs wenn du die Datei, wenn du sie eh schon auf dem rechner hast, mal im Internet in nen Onlinescanner hochlädst und schaust was der dazu sagt?

[derPaterick]

Im oberen Beispiel schlagen ~ 10% der Scanner aus.
http://www.virustotal.com/file-scan/...8a3-1308479413

Das tun sie aber nicht, wenn ich den Crack über andere Quellen besorge, sondern lediglich bei dieser Usenet Version.

[xXNightfoXx]

Wie bereits gesagt: Ja Anitivir ist empfindlch...

Aber wenn es den gleichen Crack auch ohne Virenwarnung gibt, würde ich des Problem vllt doch eher beim Keks als beim Scanner suchen

[Shadow27374]

Im oberen Beispiel schlagen ~ 10% der Scanner aus.
http://www.virustotal.com/file-scan/...8a3-1308479413

Das tun sie aber nicht, wenn ich den Crack über andere Quellen besorge, sondern lediglich bei dieser Usenet Version.

Also der Onlinescanner zeig lediglich "Crypt" oder "Pak" an. Das bedeutet nur das die Executable gepackt wurde damit sie kleiner wird.
Mit hoher Wahrscheinlichkeit ist dies kein Virus.

[b0mb]

Mal ganz abgesehen davo, dass es sich höchstwahrscheinlich, wie schon von meinen Vorrednern erwähnt, um Fehlalarme handelt, würde ich Dir empfehlen, deine Headers aus einem Usenet Board zu beziehen.

Wenn dann wirklich was mit dem Download nicht in Ordnung ist, dann werden das dort schon genug User kundtun.

[Kugelfisch23]

Also der Onlinescanner zeig lediglich "Crypt" oder "Pak" an. Das bedeutet nur das die Executable gepackt wurde damit sie kleiner wird.
Mit hoher Wahrscheinlichkeit ist dies kein Virus.

Letzteres ist eine gewagte Aussage. Korrekt ist, dass die Meldung bloss bedeutet, dass das Binary (mit einem obskuren Laufzeitpacker) gepackt wurde, um die Dateigrösse zu verringern und/oder dessen Rückentwicklung zu erschweren. Deshalb kann der Malwarescanner den (gepackten) Inhalt nicht untersuchen - es ist demnach keine Aussage darüber möglich, ob es sich um Malware handelt oder nicht. Gerade wenn das Binary aus nicht unbedingt vertrauenswürdigen Quellen stammt, würde ich nicht ohne Weiteres davon ausgehen, dass es harmlos ist.

Nach dem nächsten Neustart dann eine nette Überraschung: Mein Windows wird durch einen Scareware-Trojaner geblockt, der mir einen Malwarescanner andrehen will.

War eventuell bereits vor diesen Vorfällen einmal Malware auf deinem System, die du entfernt zu haben glaubst und/oder war dein System nicht auf dem aktuellen Stand? Bedenke, dass das im Allgemeinen nicht zuverlässig möglich ist und es durchaus denkbar ist, dass ein bereits kompromittiertes System für solch ein eher seltsames Verhalten verantwortlich ist. Siehe auch http://board.gulli.com/thread/15222.../#post12551252. Auch wäre interessant, welche Signaturen AntiVir zu erkennen glaubt - handelt es sich um generische Signaturen, möglicherweise auch `nur` um Laufzeitpacker-Hinweise? Bedenke jedoch: Wenn du ausführbare Dateien aus wenig vertrauenswürdigen Quellen beziehst, musst du immer damit rechnen, dass sie Malware enthalten. Dieses Risiko kannst du bloss minimieren.

[derPaterick]

Hallo Kugelfisch,

lese deinen Beitrag leider erst jetzt.
Zum Beispiel wurde in einem Download in der beigefügten Datei "Setup_SatelliteDirect.exe" der Virus TR/Agent.fgmh gefunden, im Crack von "Alice - Madness Returns" TR/Crypt.XPACK.Gen, was allerdings nach Download eines Cracks aus anderer Quelle verschwand (wobei ich mir jetzt nicht sicher bin, ob der Crack nicht vielleicht doch von einer anderen Releasegruppe kam...), im Crack zu "Fallout - New Vegas" (Datei "Launcher.exe") wurde TR/Spy.126976.298 erkannt.

Soweit ich weiß, ist das das erste Mal, dass meine jetzige Windows-Installation verseucht wurde.

[derPaterick]

Weiter im Lied: Batman, Arkham Asylum... Ein Virus namens ppi.exe scheint sein Unwesen zu treiben. Diesmal konnte ich die Datei nicht mal bei Virustotal checken, weil Antivir sie schon gesichert hatte...

Beim Beispiel weiter oben hat sich allerdings wieder etwas getan: Laut einem aktuelleren Scan schlagen nur noch 2 statt 10 engines aus. Aber woher soll ich dann wissen, was ich öffnen kann und was nicht? Vielleicht einen anderen Virenscanner nehmen?

[Nelson87]

Sonst die Sachen vielleicht erstmal in einer Sandbox (z.B. Sandboxie) entpacken und nachschauen was das AV dann zu den Dateien sagt ?
Und das Spiel vielleicht auch erstmal in der Sandbox installieren, so haben die Dateien dann keinen Zugriff auf dein richtiges System.
Mache ich schon länger so mit Spielen, aber nicht wegen Viren,
sondern wegen der geringen Spieldauer bei heutigen Spielen. Wenns durch ist wird einfach die Sandbox geleert und ich musste mein System damit nicht voll schmieren.

[Nathra]

Geh mal aufs Trojaner Board wenn du dir nen Virus/Trojaner eingefangen hast.
Gibt dort vernünftige tuts. was man in dem Fall macht.
Report datei hochladen mehrere Programme benutzen usw.
Ganz easy.
Dort bekommst auch raus ob der Scanner mal wieder spinnt.
Gerade Antivir ist ne Katastrophe.
Seit ich auf den von Microsoft wechselte sind die Fehlalarme drastisch zurückgegangen.
(ja ich weiß Microsoft ist der Feind. Dafür beseitigt der auch mal was , was antivir free nicht geschafft hat)

@Nelson87
Jo sehr vernünftiger Tip. Was nimmst du für ein prog.?
Ich nehm Virtual box. Fand das so genial wie ich das erste mal ein Betriebssystem in der Box installiert hatte. Musste ich jedem der in Reichweite war zeigen. "schau mal ein os auf meinem os" .fazinierend

[Sancho-Pancho]

Im Gegensatz zu deinem Tipp mit dem Trojaner-Board.
In Beitrag 15 wird bereits alles notwendige zur Beseitigung gesagt.