Ein Freund bekam eine selbst erstellte Diashow gepackt zugeschickt. Beim Entpacken meldete sich Avira und schrieb ihm eine Warnung auf den Monitor. Er hörte nicht auf seinen genialen Enkel, der ihm riet, Avira zu deaktivieren, sondern rief mich zu Hilfe.
Ich hab das Dingens mal entpackt und mit der neuesten Rescue- CD von Avira gescannt.
Diese Meldung:
ALERT: [TR/Delf.ageo] /media/Disks/E:__(187.3G)/Eigene Dateien/DiaShow Kroatien/start.exe
<<< Is the Trojan horse TR/Delf.ageo
So richtig Aussagekräftiges habe ich zu einem Trojaner "Delf.ageo" nicht gefunden.
Eure Meinung dazu bitte?
Jürgen
Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge
Moin,
lade die Datei hier hoch.
Virenchecker online: http://www.virustotal.com/ oder http://virusscan.jotti.org/
Danke.
Hab ich gemacht - nur sagt mir das Ergebnis nicht viel - u.a. weil es englisch ist:
http://www.virustotal.com/file-scan/report.html?id=356e44316945dd5a9649790a608222f1cde6cba575aaa6f62be3828cfdfeae8f-1320386613
Kannst Du das übersetzen?
Der Deutsche Dienst ist ausgelastet - trotz 30 Minuten Wartezeit.
Jürgen
Hi, Jürgen.
Die Listen besagen folgendes:
Links ist das AV-Programm, dann folgt die Versionsnummer und das letzte Update dieses Programms.
In der rechten Spalte sind die Ergebnisse: (Result)
Alle die einen Strich haben, haben die Datei ohne Probleme geprüft.
Alles andern vermuten das, was in ROT dahinter steht.
Antivir hat in der Tat einen TR/Delf.ageo gefunden. Andere auch, aber auch wiederum andere Trojaner.
Ich vermute hier einen "Positive False" - eine Falschmeldung.
Jetzt hab ich es auch vom Deutschen Scanner bekommen:
http://virusscan.jotti.org/de/scanresult/1d2718ccd9e936c29cecf0090a4bdc4f880a2699/2faaa8abd162da32ed262b504cd798ba37bdeb3e
Aber so richtig sagt mir das auch nichts - nur das manche Scanner etwas finden, andere nicht.
Aber das wußte ich auch schon -wenn auch nicht so konkret- zuvor.
Will sagen - das Ergebnis ist (für mich jedenfalls) das Gleiche, wie die Bauernweisheit
"Wenn der Hahn kräht auf dem Mist, ändert sich das Wetter. Oder es bleibt, wie es ist!"
Ich werde meinem Bekannten raten, die Datei (Diashow) nicht zu starten.
Wurde möglicherweise auf einem PC mit gecracktem Programm (DiaShow) erstellt.
Jürgen
Moin, Moin, Jürgen!
Habe gerade auf deinen obigen Link geschaut und: Hokuspokus - keiner der Scanner vermeldet mehr ein Ergebnis??
Zweiter Versuch...was ist heute mit Nickles los...?
Hallo Jürgen,
aus dem ersten Link ist ja schön ersichtlich von welchem Hersteller, welche EXE, welche Version und Größe das File hat.
Mit diesen Info´s bewaffnet könntest Du -um sicher zu gehen- im AquaSoft-Forum mal nachfragen, ob die Größe stimmt.
Scheint im Übrigen häufiger vorzukommen, dass das Virenscanner murren. :-)
http://forum.aquasoft.de/viewtopic.php?f=37&t=10344&p=73248&hilit=Virenscanner+Trojaner#p73248
Grüßle
hugo
Naja, weißt Du - einen Virenscanner hat man eigentlich präzise dafür installiert, das sie einen warnen.
Es bringt da meiner Meinung nach absolut nichts, wenn man dann das Wunschdenken entscheiden läßt "ach, ist bloß ne Fehlmeldung!"
Immerhin meldet sein kostenloses Avira das Gleiche, wie mein mit guten (?) Euros bezahltes.
Da kann ich mir die Geldausgabe gleich sparen und durch mein Bauchgefühl ersetzen.
Solange man mir nicht klar und deutlich sagt "Das ist eine Fehlmeldung!"- solange werde ich diese Meldung als eine Warnung behandeln.
Denn erweist sich diese Meldung als richtig, dann dauert es garnicht lange und der Paketdienst bringt mir wieder einen gut verpackten PC, den ich neu installieren darf.
Was mir nicht unbedingt immer Vergnügen bereitet.
Jürgen
???
Na da hast Du meinen Hinweis wohl falsch verstanden.
Aus deinem verlinkten Daten geht klar hervor:
File size: 50688 bytes
Hersteller: AquaSoft GmbH
Produktname: DiaShow Premium
Programmname: DiaShow
Programmversion.: 7.0.8.26168
Mit diesen Daten bewaffnet könntest DU -wenn Du für Deinen Kumpel sicher gehen willst- folgende Adressse http://www.aquasoft.de/Support_Index.as anschreiben und dort hinterfragen, ob die Dateigröße der Originaldatei mit dieser Version übereinstimmt.
Denn wenn die Version von Deinem Kumpel größer ist, als diese sein sollte, weißt Du das da was faul ist.
Hat also nicht das geringste mit "Bauchgefühl" zu tun, sondern ist eher ein lösungsorientierter Ansatz.
Nein, Hugo - so habe ich das schon richtig verstanden und das auch ausgeführt.
Zwar nicht zu Aquasoft geschickt, dafür aber zu Avira.
Mein Posting bezog sich nicht darauf - sondern nur aus die Bemerkung, das sich Virenscanner auch mal irren.
Was zweifellos korrekt ist.
Und wie ich mit dieser Möglichkeit umgehe.
Will sagen: Die verdächtige Datei gilt bei mir solange als Schuldig!, bis ihre Unschuld zweifelsfrei erwiesen ist.
Jürgen
Diese Aussage wirst Du vermutlich niemals bekommen.
AV-Programme sagen höchstens: "Ich habe was Verdächtiges gefunden." oder "Ich habe nichts Verdächtiges gefunden."
Ich habe noch nie ein AV-Programm erlebt, dass die Aussage macht, dass eine Datei zweifelsfrei ungefährlich ist.
Woher willst Du diese zweifeslfreie Aussage denn bekommen?
Gruß, mawe2
Eine für mich zweifelsfreie Aussage ist
- wenn ich die Datei scanne und es wird keine Warnung angezeigt.
- wenn ich die Datei zu Avira einschicke und die mir antworten, das diese Datei nicht korrumpiert ist.
Meine Aussage
"Die verdächtige Datei gilt bei mir solange als Schuldig!, bis ihre Unschuld zweifelsfrei erwiesen ist"
Ist natürlich nicht als Rechts- Standart (d) zu verstehen, sondern als eine persönliche Einstellung zu diesem Problem.
Eine Datei, von der ein beliebiger installierter Virenscanner (sozusagen der Virenscanner meines Vertrauens) behauptet, sie könnte korrumpiert sein, wird auf keinem meiner PCs ausgeführt, geöffnet.
Sie wird gelöscht.
Und ich schaue mich nach einem Ersatz um.
Jürgen
Oft genug gibt es aber falsch-positive Meldungen. Virenscanner reagieren überempfindlich und bezichtigen eine Datei einer schädigenden Wirkung, die sie gar nicht hat. Diese Dateien machst Du dann alle platt?
Es ist recht selten, das mein AviraAntivir Prof eine solche Meldung abgibt, mawe2.
Das tut sie im allgemeinen nur bei Keygeneratoren und sonstigen Patches - und da habe ich keine auf meinem Haupt- PC. Nur auf der Testmaschine.
Wenn auf meinem Haupt- PC eine solche Meldung erscheint, wird die Datei nicht ausgeführt, sondern in Quarantäne geschickt.
Dann sehe ich mich nach einem Ersatz um.
Diese (möglicherweise übertriebene) Vorsicht ist sicher der Grund, weshalb ich trotz fehlendem Admin- PW und ausschließlichem Arbeiten mit dem Admin- Konto noch immer einen nicht korrumpierten PC besitze. Jedenfalls nach meinen Erkenntnissen.
Jürgen
Ich bin ja bei AVG.
Wenn AVG mir was meldet, dann schicke ich es denen direkt ins Labor.
Innerhalb weniger Stunden habe ich Antwort und bei Bedarf ist das in der Datenbank drin.
Avira muss doch auch ein Adresse dafür haben.
Du hast recht - hätte auch selbst auf diese Idee kommen müssen.
Ich habe die verdächtige Datei an diese Adresse geschickt:
http://analysis.avira.com/samples/index.php
Jürgen
Hallo Jüki,
Alternativ haben Sie die Möglichkeit, die verdächtige Datei über unsere Webseite an uns zu senden: http://www.avira.de/sample-upload
gruß Presla
Siehe mein Posting 04.11.2011, 12:38 Uhr.
Jürgen
War die .de Adresse,Deine ist die .com Adresse,besser 2 Eisen im Feuer als eines.
Presla
Die Adressen sind identisch - bei beiden öffnet sich das gleiche Fenster:
http://www.nickles.de/user/images/111275/avira-02.jpg
Jürgen
Meine abschließenden und natürlich recht laienhaften Erkenntnisse (im Zusammenhang mit der Aussage vom Avira- Virenlabor) -
Diese "start.exe" beinhaltet kein Schadprogramm.
Aber mit Teilen der (unglücklich programmierten) Programmstruktur ermöglicht es diese exe Schadprogrammen Zugang zum System zu finden - wie es Dropper tun.
Eine Brücke wird gebaut. Und wird als Solche sogar dann erkannt, wenn die Heuristik auf niedrigste Stufe gestellt wird.
Wie mir auf persönlicher Ebene bekannt wurde, hätte Aquasoft von Avira gefordert, das eine Ausnahmeregelung eingearbeitet wird, da eine Umprogrammierung zu aufwändig sei.
Avira hätte dies wegen des möglichen Gefahrenpotentials abgelehnt.
Also bleibt es dabei.
Diashows werden mit dem Vorläufer der jetzigen Diashow hergestellt. Deren Programmierung ist ungefährlich.
Jürgen
PS: Übetriebene Vorsicht?
Möglich. Aber mir ist ein stabiler und sicherer PC allemal sehr viel mehr wert, als ein neues Programm.
Es gibt inzwischen eine "Start.exe", welche die gewünschte Signatur enthält.
Hier zu laden:
http://www.aquasoft.de/download/files/Start.zip
Die bemängelte Start.exe löschen und durch diese ersetzen.
Klappt!
Jürgen
Hallo,
am 9.11.2014 gelesen und der exe-Link ging noch .
Danke, jetzt ist die Avira Meldung weg :).
Ist wahrscheinlich nur bei der 7-er Version.
staid53