Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Trojaner Delf.ageo

jueki / 22 Antworten / Baumansicht Nickles

Ein Freund bekam eine selbst erstellte Diashow gepackt zugeschickt. Beim Entpacken meldete sich Avira und schrieb ihm eine Warnung auf den Monitor. Er hörte nicht auf seinen genialen Enkel, der ihm riet, Avira zu deaktivieren, sondern rief mich zu Hilfe.
Ich hab das Dingens mal entpackt und mit der neuesten Rescue- CD von Avira gescannt.
Diese Meldung:

ALERT: [TR/Delf.ageo] /media/Disks/E:__(187.3G)/Eigene Dateien/DiaShow Kroatien/start.exe
<<< Is the Trojan horse TR/Delf.ageo

So richtig Aussagekräftiges habe ich zu einem Trojaner "Delf.ageo" nicht gefunden.
Eure Meinung dazu bitte?

Jürgen

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
peterson jueki „Trojaner Delf.ageo“
Optionen

Moin,

lade die Datei hier hoch.

Virenchecker online: http://www.virustotal.com/ oder http://virusscan.jotti.org/

bei Antwort benachrichtigen
jueki peterson „Moin, lade die Datei hier hoch. Virenchecker online: http://www.virustotal.com/...“
Optionen

Danke.
Hab ich gemacht - nur sagt mir das Ergebnis nicht viel - u.a. weil es englisch ist:
http://www.virustotal.com/file-scan/report.html?id=356e44316945dd5a9649790a608222f1cde6cba575aaa6f62be3828cfdfeae8f-1320386613
Kannst Du das übersetzen?
Der Deutsche Dienst ist ausgelastet - trotz 30 Minuten Wartezeit.

Jürgen

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
peterson jueki „Danke. Hab ich gemacht - nur sagt mir das Ergebnis nicht viel - u.a. weil es...“
Optionen

Hi, Jürgen.

Die Listen besagen folgendes:

Links ist das AV-Programm, dann folgt die Versionsnummer und das letzte Update dieses Programms.

In der rechten Spalte sind die Ergebnisse: (Result)
Alle die einen Strich haben, haben die Datei ohne Probleme geprüft.
Alles andern vermuten das, was in ROT dahinter steht.

Antivir hat in der Tat einen TR/Delf.ageo gefunden. Andere auch, aber auch wiederum andere Trojaner.

Ich vermute hier einen "Positive False" - eine Falschmeldung.


bei Antwort benachrichtigen
jueki peterson „Moin, lade die Datei hier hoch. Virenchecker online: http://www.virustotal.com/...“
Optionen

Jetzt hab ich es auch vom Deutschen Scanner bekommen:
http://virusscan.jotti.org/de/scanresult/1d2718ccd9e936c29cecf0090a4bdc4f880a2699/2faaa8abd162da32ed262b504cd798ba37bdeb3e
Aber so richtig sagt mir das auch nichts - nur das manche Scanner etwas finden, andere nicht.
Aber das wußte ich auch schon -wenn auch nicht so konkret- zuvor.
Will sagen - das Ergebnis ist (für mich jedenfalls) das Gleiche, wie die Bauernweisheit
"Wenn der Hahn kräht auf dem Mist, ändert sich das Wetter. Oder es bleibt, wie es ist!"

Ich werde meinem Bekannten raten, die Datei (Diashow) nicht zu starten.
Wurde möglicherweise auf einem PC mit gecracktem Programm (DiaShow) erstellt.

Jürgen

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
winnigorny1 jueki „Jetzt hab ich es auch vom Deutschen Scanner bekommen:...“
Optionen

Moin, Moin, Jürgen!

Habe gerade auf deinen obigen Link geschaut und: Hokuspokus - keiner der Scanner vermeldet mehr ein Ergebnis??

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
Hugo20 jueki „Jetzt hab ich es auch vom Deutschen Scanner bekommen:...“
Optionen

Zweiter Versuch...was ist heute mit Nickles los...?

Hallo Jürgen,

aus dem ersten Link ist ja schön ersichtlich von welchem Hersteller, welche EXE, welche Version und Größe das File hat.

Mit diesen Info´s bewaffnet könntest Du -um sicher zu gehen- im AquaSoft-Forum mal nachfragen, ob die Größe stimmt.

Scheint im Übrigen häufiger vorzukommen, dass das Virenscanner murren. :-)

http://forum.aquasoft.de/viewtopic.php?f=37&t=10344&p=73248&hilit=Virenscanner+Trojaner#p73248

Grüßle
hugo

„Autovertreter verkaufen Autos. Versicherungsvertreter verkaufen Versicherungen. Und Volksvertreter?“(Stanislav Teroylec, polnischer Aphoristiker)
bei Antwort benachrichtigen
jueki Hugo20 „Zweiter Versuch...was ist heute mit Nickles los...? Hallo Jürgen, aus dem...“
Optionen
Scheint im Übrigen häufiger vorzukommen, dass das Virenscanner murren. :-)
Naja, weißt Du - einen Virenscanner hat man eigentlich präzise dafür installiert, das sie einen warnen.
Es bringt da meiner Meinung nach absolut nichts, wenn man dann das Wunschdenken entscheiden läßt "ach, ist bloß ne Fehlmeldung!"
Immerhin meldet sein kostenloses Avira das Gleiche, wie mein mit guten (?) Euros bezahltes.
Da kann ich mir die Geldausgabe gleich sparen und durch mein Bauchgefühl ersetzen.
Solange man mir nicht klar und deutlich sagt "Das ist eine Fehlmeldung!"- solange werde ich diese Meldung als eine Warnung behandeln.
Denn erweist sich diese Meldung als richtig, dann dauert es garnicht lange und der Paketdienst bringt mir wieder einen gut verpackten PC, den ich neu installieren darf.
Was mir nicht unbedingt immer Vergnügen bereitet.

Jürgen
- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
Hugo20 jueki „ Naja, weißt Du - einen Virenscanner hat man eigentlich präzise dafür...“
Optionen

???
Na da hast Du meinen Hinweis wohl falsch verstanden.

Aus deinem verlinkten Daten geht klar hervor:

File size: 50688 bytes
Hersteller: AquaSoft GmbH
Produktname: DiaShow Premium
Programmname: DiaShow
Programmversion.: 7.0.8.26168

Mit diesen Daten bewaffnet könntest DU -wenn Du für Deinen Kumpel sicher gehen willst- folgende Adressse http://www.aquasoft.de/Support_Index.as anschreiben und dort hinterfragen, ob die Dateigröße der Originaldatei mit dieser Version übereinstimmt.
Denn wenn die Version von Deinem Kumpel größer ist, als diese sein sollte, weißt Du das da was faul ist.

Hat also nicht das geringste mit "Bauchgefühl" zu tun, sondern ist eher ein lösungsorientierter Ansatz.

„Autovertreter verkaufen Autos. Versicherungsvertreter verkaufen Versicherungen. Und Volksvertreter?“(Stanislav Teroylec, polnischer Aphoristiker)
bei Antwort benachrichtigen
jueki Hugo20 „??? Na da hast Du meinen Hinweis wohl falsch verstanden. Aus deinem verlinkten...“
Optionen

Nein, Hugo - so habe ich das schon richtig verstanden und das auch ausgeführt.
Zwar nicht zu Aquasoft geschickt, dafür aber zu Avira.
Mein Posting bezog sich nicht darauf - sondern nur aus die Bemerkung, das sich Virenscanner auch mal irren.
Was zweifellos korrekt ist.
Und wie ich mit dieser Möglichkeit umgehe.
Will sagen: Die verdächtige Datei gilt bei mir solange als Schuldig!, bis ihre Unschuld zweifelsfrei erwiesen ist.

Jürgen

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
mawe2 jueki „Nein, Hugo - so habe ich das schon richtig verstanden und das auch ausgeführt....“
Optionen
Die verdächtige Datei gilt bei mir solange als Schuldig!, bis ihre Unschuld zweifelsfrei erwiesen ist.

Diese Aussage wirst Du vermutlich niemals bekommen.

AV-Programme sagen höchstens: "Ich habe was Verdächtiges gefunden." oder "Ich habe nichts Verdächtiges gefunden."

Ich habe noch nie ein AV-Programm erlebt, dass die Aussage macht, dass eine Datei zweifelsfrei ungefährlich ist.

Woher willst Du diese zweifeslfreie Aussage denn bekommen?

Gruß, mawe2
bei Antwort benachrichtigen
jueki mawe2 „ Diese Aussage wirst Du vermutlich niemals bekommen. AV-Programme sagen...“
Optionen
Woher willst Du diese zweifelsfreie Aussage denn bekommen?
Eine für mich zweifelsfreie Aussage ist
- wenn ich die Datei scanne und es wird keine Warnung angezeigt.
- wenn ich die Datei zu Avira einschicke und die mir antworten, das diese Datei nicht korrumpiert ist.
Meine Aussage
"Die verdächtige Datei gilt bei mir solange als Schuldig!, bis ihre Unschuld zweifelsfrei erwiesen ist"
Ist natürlich nicht als Rechts- Standart (d) zu verstehen, sondern als eine persönliche Einstellung zu diesem Problem.
Eine Datei, von der ein beliebiger installierter Virenscanner (sozusagen der Virenscanner meines Vertrauens) behauptet, sie könnte korrumpiert sein, wird auf keinem meiner PCs ausgeführt, geöffnet.
Sie wird gelöscht.
Und ich schaue mich nach einem Ersatz um.

Jürgen
- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
mawe2 jueki „ Eine für mich zweifelsfreie Aussage ist - wenn ich die Datei scanne und es...“
Optionen
Eine Datei, von der ein beliebiger installierter Virenscanner (sozusagen der Virenscanner meines Vertrauens) behauptet, sie könnte korrumpiert sein, wird auf keinem meiner PCs ausgeführt, geöffnet.

Oft genug gibt es aber falsch-positive Meldungen. Virenscanner reagieren überempfindlich und bezichtigen eine Datei einer schädigenden Wirkung, die sie gar nicht hat. Diese Dateien machst Du dann alle platt?
bei Antwort benachrichtigen
jueki mawe2 „ Oft genug gibt es aber falsch-positive Meldungen. Virenscanner reagieren...“
Optionen

Es ist recht selten, das mein AviraAntivir Prof eine solche Meldung abgibt, mawe2.
Das tut sie im allgemeinen nur bei Keygeneratoren und sonstigen Patches - und da habe ich keine auf meinem Haupt- PC. Nur auf der Testmaschine.
Wenn auf meinem Haupt- PC eine solche Meldung erscheint, wird die Datei nicht ausgeführt, sondern in Quarantäne geschickt.
Dann sehe ich mich nach einem Ersatz um.
Diese (möglicherweise übertriebene) Vorsicht ist sicher der Grund, weshalb ich trotz fehlendem Admin- PW und ausschließlichem Arbeiten mit dem Admin- Konto noch immer einen nicht korrumpierten PC besitze. Jedenfalls nach meinen Erkenntnissen.

Jürgen

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
peterson jueki „Jetzt hab ich es auch vom Deutschen Scanner bekommen:...“
Optionen

Ich bin ja bei AVG.

Wenn AVG mir was meldet, dann schicke ich es denen direkt ins Labor.
Innerhalb weniger Stunden habe ich Antwort und bei Bedarf ist das in der Datenbank drin.

Avira muss doch auch ein Adresse dafür haben.

bei Antwort benachrichtigen
jueki peterson „Ich bin ja bei AVG. Wenn AVG mir was meldet, dann schicke ich es denen direkt...“
Optionen

Du hast recht - hätte auch selbst auf diese Idee kommen müssen.
Ich habe die verdächtige Datei an diese Adresse geschickt:

http://analysis.avira.com/samples/index.php

Jürgen

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
presla jueki „Du hast recht - hätte auch selbst auf diese Idee kommen müssen. Ich habe die...“
Optionen

Hallo Jüki,
Alternativ haben Sie die Möglichkeit, die verdächtige Datei über unsere Webseite an uns zu senden: http://www.avira.de/sample-upload
gruß Presla

Grüße aus NRW von Presla....... Horst Evers: Wer alles weiss, hat keine Ahnung
bei Antwort benachrichtigen
jueki presla „Hallo Jüki, Alternativ haben Sie die Möglichkeit, die verdächtige Datei über...“
Optionen
Alternativ haben Sie die Möglichkeit, ..
Siehe mein Posting 04.11.2011, 12:38 Uhr.

Jürgen
- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
presla jueki „ Siehe mein Posting 04.11.2011, 12:38 Uhr. Jürgen“
Optionen

War die .de Adresse,Deine ist die .com Adresse,besser 2 Eisen im Feuer als eines.

Presla

Grüße aus NRW von Presla....... Horst Evers: Wer alles weiss, hat keine Ahnung
bei Antwort benachrichtigen
jueki presla „War die .de Adresse,Deine ist die .com Adresse,besser 2 Eisen im Feuer als...“
Optionen

Die Adressen sind identisch - bei beiden öffnet sich das gleiche Fenster:

http://www.nickles.de/user/images/111275/avira-02.jpg

Jürgen

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
jueki Nachtrag zu: „Trojaner Delf.ageo“
Optionen

Meine abschließenden und natürlich recht laienhaften Erkenntnisse (im Zusammenhang mit der Aussage vom Avira- Virenlabor) -
Diese "start.exe" beinhaltet kein Schadprogramm.
Aber mit Teilen der (unglücklich programmierten) Programmstruktur ermöglicht es diese exe Schadprogrammen Zugang zum System zu finden - wie es Dropper tun.
Eine Brücke wird gebaut. Und wird als Solche sogar dann erkannt, wenn die Heuristik auf niedrigste Stufe gestellt wird.
Wie mir auf persönlicher Ebene bekannt wurde, hätte Aquasoft von Avira gefordert, das eine Ausnahmeregelung eingearbeitet wird, da eine Umprogrammierung zu aufwändig sei.
Avira hätte dies wegen des möglichen Gefahrenpotentials abgelehnt.
Also bleibt es dabei.
Diashows werden mit dem Vorläufer der jetzigen Diashow hergestellt. Deren Programmierung ist ungefährlich.

Jürgen

PS: Übetriebene Vorsicht?
Möglich. Aber mir ist ein stabiler und sicherer PC allemal sehr viel mehr wert, als ein neues Programm.

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
jueki Nachtrag zu: „Meine abschließenden und natürlich recht laienhaften Erkenntnisse im...“
Optionen

Es gibt inzwischen eine "Start.exe", welche die gewünschte Signatur enthält.
Hier zu laden:
http://www.aquasoft.de/download/files/Start.zip
Die bemängelte Start.exe löschen und durch diese ersetzen.
Klappt!

Jürgen

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
staid531 jueki „Es gibt inzwischen eine Start.exe , welche die gewünschte Signatur enthält....“
Optionen

Hallo,

am 9.11.2014 gelesen und der exe-Link ging noch .

Danke, jetzt ist die Avira Meldung weg :).

Ist wahrscheinlich nur bei der 7-er Version.

staid53

bei Antwort benachrichtigen