Frag mich bitte was Leichteres. Bewusst und absichtlich habe ich mich in dem Verzeichnis in den letzten 12 Monaten jedenfalls nicht bewegt.

Zitat:

Zitat von cosinus

Wo zum Geier hast du das her, was soll das eigentlich sein?

Jetzt verstehe ich den Hintergrund Deiner Frage (nach der PN vom Kollegen, der mir ein "Bringschuld" attestiert hat, wegen Verdacht auf ilegale Software; daran hatte ich nicht mal gedacht). Das ist der Installer für eine Erweiterung zu einer Mod für Morrowind (die Mod heißt Sea of Destiny, die Erweiterung Frost Fall, also Sea of Destiny: Frost Fall, kurz sodff). Frei verfügbar auf hxxp://www.gamefront.com/files/listing/pub2/elder-scrolls-3-morrowind. Beispielsweise.

Meine Soft ist legit. Alle 2 TB (500 GB Sicherungskopien, Dubletten und anderen Müll habe ich inzwischen gelöscht, um die tagelangen Scans zu beschleunigen).

Ich wollte das eigentlich hinterfragen weil ich wissen wollte, ob das ein Fehlalarm ist oder eher nicht!

Ich mache meinem Alias alle Ehre. Diese PN habe ich gestern bekommen

Zitat:

Zitat von popeye2

Zitat:

dies scheint ein Spielepatch zu sein.
Lt. Forenregeln gibt es zu Malware hervorgerufen durch illegale SW keinen Support außer Anleitung zum System neu aufsetzen. Du bist also in Erklärungsnot bzw. hast eine Bringschuld!

Ich hätte nur auf die Zahl der Beiträge von dem Jungen sehen müssen, dann wäre mir klar gewesen, dass der hier kein Admin oder sonstwas ist. Aber der Vorwurf, ich hätte mir die Malware über cracks eingefangen, hat mich vor heiligem Zorn blind gemacht.

Naja. Hier jedenfalls der (editierte) Auswurf von SAS (die tracking cookies habe ich gelöscht; davon sind immerhin 504 gefunden worden; ich schicke Dir die Liste gerne per PN). Ich habe SAS noch nichts löschen lassen, sondern lasse den Scan result jetzt mal so stehen bis ich von Dir höre..

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 03/15/2012 at 07:20 AM

Application Version : 5.0.1146

Core Rules Database Version : 8333
Trace Rules Database Version: 6145

Scan type       : Complete Scan
Total Scan Time : 16:44:23

Operating System Information
Windows Vista Business 64-bit, Service Pack 2 (Build 6.00.6002)
UAC On - Administrator

Memory items scanned      : 734
Memory threats detected   : 0
Registry items scanned    : 65022
Registry threats detected : 0
File items scanned        : 2669867
File threats detected     : 520

Adware.Tracking Cookie
	
Heur.Agent/Gen-WhiteBox
	D:\DOKUMENTE UND EINSTELLUNGEN\Jxxx\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\CACHE\F_00010E
	D:\DOKUMENTE UND EINSTELLUNGEN\Jxxx\LOKALE EINSTELLUNGEN\TEMP\PJHI+WMI.EXE.PART
	G:\GAMES\PATCHES\STAR_RULER\SR_V1.0.5.0-V1.0.5.2.EXE
	G:\GAMES\PATCHES\STAR_RULER\SR_V1.0.5.2-V1.0.5.4.EXE
	G:\GAMES\PATCHES\STAR_RULER\SR_V1.0.7.2-V1.0.7.4.EXE

Trojan.Agent/Gen-FraudPack
	D:\DOKUMENTE UND EINSTELLUNGEN\Jxxx\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\CACHE\F_000109
	D:\DOKUMENTE UND EINSTELLUNGEN\Jxxx\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\CACHE\F_00010A
	D:\DOKUMENTE UND EINSTELLUNGEN\Jxxx\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\CACHE\F_00010B
	D:\DOKUMENTE UND EINSTELLUNGEN\Jxxx\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\CACHE\F_00010D
	D:\DOKUMENTE UND EINSTELLUNGEN\Jxxx\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\CACHE\F_000110
	G:\GAMES\PATCHES\STAR_RULER\SR_V1.0.6.0-V1.0.6.2.EXE

Adware.Zwangi
	F:\PROGRAMME\INFRARECORDER\UNINSTALL.EXE
	L:\Lxxx\Hxxx\EIGENE DATEIEN\FREECIV\UNINSTALL.EXE

Adware.TryMedia
	G:\SYSTEM VOLUME INFORMATION\_RESTORE{E196F8E3-EA37-43A7-9F59-119537B7DE90}\RP250\A0071554.EXE

Trojan.Agent/Gen-StartPage
	H:\MICROSOFT\XP\APPS\PROJECT BLACKOUT\UNINST.EXE

Trojan.Agent/Gen-Krpytik
	L:\SYSTEM VOLUME INFORMATION\_RESTORE{FBDC0372-7339-4654-A899-CAA533DD6F13}\RP774\A0143954.DLL
         

Trojan.Agent/Gen-StartPage in \PROJECT BLACKOUT\UNINST.EXE ist ein bestätigter false positive laut SAS Forum.
Die anderen Funde, die mir nach false positives aussehen, habe ich an SAS eingeschickt. Das sind

Adware.Zwangi
F:\PROGRAMME\INFRARECORDER\UNINSTALL.EXE
L:\Lxxx\Hxxx\EIGENE DATEIEN\FREECIV\UNINSTALL.EXE
Heur.Agent/Gen-WhiteBox
G:\GAMES\PATCHES\STAR_RULER\SR_V1.0.5.0-V1.0.5.2.EXE
G:\GAMES\PATCHES\STAR_RULER\SR_V1.0.5.2-V1.0.5.4.EXE
G:\GAMES\PATCHES\STAR_RULER\SR_V1.0.7.2-V1.0.7.4.EXE
Trojan.Agent/Gen-FraudPack
G:\GAMES\PATCHES\STAR_RULER\SR_V1.0.6.0-V1.0.6.2.EXE

Ich habe für das Schreiben dieser Antwort längere Zeit benötigt, während der ich offensichtlich automatisch ausgelogt wurde. Dann sieht es immer erst mal aus, als müsste man alles nochmal schreiben. Ich plädiere für entweder:
1. Vergrößerung der Zeitspanne bis zum automatischen Kick,
oder
2. Konservierung der "Nachricht"-Box über den Kick hinaus

P.S. Keine Ergebnisse bei Google zu sodff.exe und "Sality". Ich würde das File ja mal bei Virustotal prüfen lassen, aber es ist natürlich jetzt weg.

Hier ist, was virustotal zu der Version von sodff.exe sagt, die momentan unter hxxp://www.gamefront.com/files/3969878/Sea_of_Destiny__Frost_Fall heruntergeladen werden kann

Code: Alles auswählenAufklappen

ATTFilter

SHA256: 80231efda90e2c9a53cd6d61a0f5ddb666d597f485bb73ab4de0146e6161976d
Detection ratio: 2 / 42
Analysis date: 2010-03-25 13:23:21 UTC ( 1 Jahr, 11 Monate ago ) 

TheHacker: Adware/EShoper.bd 20100324
ViRobot: Backdoor.Win32.BlackCode.592200 20100325

Additional information:

ssdeep
 12288:PAOqc2sOb6YZ6TqnFrUk04tjc9tc/NMNGJ6ijV:PAOt2swaKok0wjc9BIZ 

TrID
 UPX compressed Win32 Executable (39.5%)
 Win32 EXE Yoda's Crypter (34.3%)
 Win32 Executable Generic (11.0%)
 Win32 Dynamic Link Library (generic) (9.8%)
 Generic Win/DOS Executable (2.5%)

Sigcheck
publisher................: 
product..................: Sea of Destiny Frost Fall Install Program
internal name............: 
copyright................: 
original name............: 
comments.................: 
file version.............: 2, 0, 0, 21
description..............: 

Portable Executable structural information
PE Sections...................:

Name        Virtual Address  Virtual Size  Raw Size  Entropy  MD5
.rsrc                143360         12288     11264     4.87  8e84d04eb50bd7885d6a4b7a9496d6b1
UPX1                  90112         53248     52224     7.91  3784bb0410b0954c1aea472483b1c3ee
UPX0                   4096         86016         0      0.0  d41d8cd98f00b204e9800998ecf8427e

PE Imports....................:

version.dll
	VerFindFileA

gdi32.dll
	BitBlt

advapi32.dll
	RegCloseKey

kernel32.dll
	LoadLibraryA
	GetProcAddress
	ExitProcess

shell32.dll
	SHGetMalloc

ole32.dll
	CoGetMalloc

user32.dll
	IsIconic

comctl32.dll
	(1 more function(s) with non-ascii characters or imported by ordinal) 

First seen by VirusTotal
 2009-10-07 16:08:14 UTC ( 2 Jahre, 5 Monate ago ) 
Last seen by VirusTotal
 2010-03-25 13:23:21 UTC ( 1 Jahr, 11 Monate ago )
         

Ich habe diese aktuelle Version des sodff.exe noch einmal von hxxp://www.gamefront.com/files/3969878/Sea_of_Destiny__Frost_Fall heruntergeladen, auf einen USB Stick kopiert, und den mit Malwarebytes gescannt. Das Ergebnis ist immer noch der Fund von Virus.Sality. Es handelt sich also mit ziemlicher Sicherheit um einen falschen Alarm.

Noch eine Anmerkung zum Forum: laut e-mail Benachrichtigung hat mir popeye2 auf meine Antwort hin noch eine PN gesendet. Die kann ich aber nicht einsehen. Wenn ich oben rechts auf "Private Benachrichtigungen: 1" klicke, komme ich immer nur zu der alten, ersten Nachricht von Popeye2, auf die Zweite kann ich nirgends zugreifen.

Bin ich jetzt endgültig allen so auf die Nerven gegangen, dass keiner mehr Lust hat? Falls ja, entschuldige ich mich.

Zitat:

Zitat von JohnyderDepp

Bin ich jetzt endgültig allen so auf die Nerven gegangen, dass keiner mehr Lust hat? Falls ja, entschuldige ich mich.

Also solche Aussagen bringen mich immer wieder zum Kopfschütteln
Was erwartest du in einem Forum? Glaubst du das ist hier eine Hotline wo jeder Helfer 24/7 zu Befehl auf deine Reaktionen wartet!?

ICH habe auch ein Privatleben und es kann auch mal sein, dass man mal erst abends oder am nächsten Tag antwortet!

Sry für die deutlichen Worte, aber manchmal hab ich den Eindruck dass solche Banalitäten eben doch nicht immer für jeden klar sind.



Edit: So, nachdem was ich gesehen habe, sollte die sodff.exe ein Mod für ein Spiel sein.

Zitat:

F:\PROGRAMME\INFRARECORDER\UNINSTALL.EXE
L:\Lxxx\Hxxx\EIGENE DATEIEN\FREECIV\UNINSTALL.EXE
Heur.Agent/Gen-WhiteBox
G:\GAMES\PATCHES\STAR_RULER\SR_V1.0.5.0-V1.0.5.2.EXE
G:\GAMES\PATCHES\STAR_RULER\SR_V1.0.5.2-V1.0.5.4.EXE
G:\GAMES\PATCHES\STAR_RULER\SR_V1.0.7.2-V1.0.7.4.EXE
Trojan.Agent/Gen-FraudPack
G:\GAMES\PATCHES\STAR_RULER\SR_V1.0.6.0-V1.0.6.2.EXE

Diese Patches kennst du, was soll das sein?

Zitat:

1. Vergrößerung der Zeitspanne bis zum automatischen Kick,
oder
2. Konservierung der "Nachricht"-Box über den Kick hinaus

Du möchtest mal den Haken oben rechts beim Login setzen => angemeldet bleiben

Zitat:

Zitat von cosinus

Also solche Aussagen bringen mich immer wieder zum Kopfschütteln
Was erwartest du in einem Forum? Glaubst du das ist hier eine Hotline wo jeder Helfer 24/7 zu Befehl auf deine Reaktionen wartet!?

Nein, glaube ich nicht. Ich habe aber einige Kommentare vom Stapel gelassen, die man schon auch in den falschen Hals kriegen kann, wie mir leider erst hinterher klar wurde (Genau wie ich die PN von Popeye2 in den falschen Hals gekriegt habe. Er wollte mir, glaube ich jetzt, nur helfen, ein Missverständnis zu vermeiden). Dafür wollte ich mich entschuldigen. Nicht auf Antwort drängen.

Zitat:

ICH habe auch ein Privatleben und es kann auch mal sein, dass man mal erst abends oder am nächsten Tag antwortet!
Sry für die deutlichen Worte, aber manchmal hab ich den Eindruck dass solche Banalitäten eben doch nicht immer für jeden klar sind.

Doch, ist mir klar, und war mir klar. Schwamm drüber.

Zitat:

Edit: So, nachdem was ich gesehen habe, sollte die sodff.exe ein Mod für ein Spiel sein.

Genau

Zitat:

Diese Patches kennst du, was soll das sein?

Das sind Patches zu dem Spiel Star Ruler. Star Ruler war anfangs recht unfertig, und wurde in einer langen Reihe von Patches verbessert und spielbar gemacht. Ich habe es von Gamersgate gekauft, und die stellen die Patches auf ihrer Webseite zum Runterladen ein (nicht so wie Steam, wo die Patches automatisch eingespielt werden). Eigentlich brauche ich die Patches jetzt nicht mehr, denn ich habe das Spiel ja gepatcht, aber ich halte die Installationsroutinen eigentlich immer komplett vor (vielleicht geht Gamersgate ja doch mal pleite).

FreeCiv ist ebenfalls ein Spiel, im wesentlichen eine Freeware Version des Klassikers Civilization. Dafür gibt es auch eine uninstall.exe. ich habe die Datei zwar noch nicht benutzt ode bewusst ihre Existenz zur Kenntnis genommen, bin aber auch nicht erstaunt darüber, sie zu finden.
InfraRecorder ist ein Open-Source-Brenntool (hxxp://www.chip.de/downloads/InfraRecorder-32-Bit_23790700.html). Ich brenne nur selten was auf CD, daher habe ich keine kommerzielle Soft dafür. Hier gilt im Wesentlichen das gleiche wie für die FreeCiv uninstall.exe.

Zitat:

Du möchtest mal den Haken oben rechts beim Login setzen => angemeldet bleiben

Ah so geht das. Ich habe mich immer gewundert, was der Effekt dieses Hakens ist. Noob halt.

Gut. Dann kann man das als Fehlalarm abstempeln.
Noch Probleme?

Wegen der anderen Funde zB hier:

Adware.TryMedia
G:\SYSTEM VOLUME INFORMATION\_RESTORE{E196F8E3-EA37-43A7-9F59-119537B7DE90}\RP250\A0071554.EXE

In System Volume Information sind die Dateien für Wiederherstellungspunkte gespeichert.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Je nun. Ich habe immer noch SAS offen, und es wartet auf Anweisungen (da ich nicht weiß, ob sich die Situation nach dem Schließen des Programms wieder herstellen lässt, läuft der Rechner seit dem Scan). Die 500 Tracking cookies lösche ich natürlich einfach. sodff.exe und die 4 Star Ruler Patches sind wohl vertrauenswürdig.

Was mache ich mit dem Rest? Mal bei Virustotal scannen? Die _Restore files auf G:\ und L:\ kann man sicher schlicht löschen (G:\war mal eine Bootpartition, ist es aber nicht mehr; wie ein Systemwiederherstellungspunkt auf die externe Platte L:\ kommt, ist mir allerdings ein Rätsel), zumindest Vista lässt mich in die Sytem Volume Information Verzeichnisse aber gar nicht rein. Die Google\Chrome\Cache Dateien kann man wohl auch gefahrlos runterschmeißen. Keine Ahnung woher die kommen, ich benutze Chrome nur sehr selten.

Die Systemwiederherstellung auf C:\ habe ich jetzt jedenfalls mal deaktiviert.

Ich habe die Uninstaller von Freeciv und infrarecorder sowie die Star Ruler patches auf das SAS false positives forum gestellt und über die entsprechende Funktion des Programms an SAS gesendet. Leider scheint SAS auf solche Beiträge nicht zu reagieren.

Zu dem Rest hab ich mich doch geäußert oder meinst du wieder was anderes

Dann muss ich Dich falsch (oder eben nicht) verstanden haben. Zu den folgenden Hits sah ich noch keine Handlungsanweisung (also: SAS löschen lassen oder eben nicht)

Code: Alles auswählenAufklappen

ATTFilter

Heur.Agent/Gen-WhiteBox
	D:\DOKUMENTE UND EINSTELLUNGEN\Jxxx\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\CACHE\F_00010E
	D:\DOKUMENTE UND EINSTELLUNGEN\Jxxx\LOKALE EINSTELLUNGEN\TEMP\PJHI+WMI.EXE.PART
	
Trojan.Agent/Gen-FraudPack
	D:\DOKUMENTE UND EINSTELLUNGEN\Jxxx\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\CACHE\F_000109
	D:\DOKUMENTE UND EINSTELLUNGEN\Jxxx\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\CACHE\F_00010A
	D:\DOKUMENTE UND EINSTELLUNGEN\Jxxx\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\CACHE\F_00010B
	D:\DOKUMENTE UND EINSTELLUNGEN\Jxxx\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\CACHE\F_00010D
	D:\DOKUMENTE UND EINSTELLUNGEN\Jxxx\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\CACHE\F_000110
         

Die Hits in den _restore dateien lasse ich SAS löschen, die von mir als unproblematisch gesehenen (die uninstaller) lasse ich stehen