Hallo,
ich habe ein Problem auf meinem Laptop.
Wenn ich Knights of the Old Republic (original gekauft, frisch installiert) spielen möchte, bekomme ich von meinem Antivirenprogramm McAfee (beim Laptop dabei, frisch aktualisiert) die Meldung, dass in meinem temporären Verzeichnis die Datei "bdMusicb.sys" mit dem Trojanischen Pferd "Generic Rootkit.b" infiziert sei.
Des Weiteren bekomme ich vom Spiel die Meldung, dass ein Konflikt mit einer Emulationssoftware aufgetreten ist: "Conflict with Disc Emulator Software detected. See www.securom.com/emulation for more details."
Der Rest des Computers ist aber sauber - soweit ich das per Antiviren und Anti Spy/Adware Programmen testen konnte. Auch das Kotor Verzeichnis scheint sauber zu sein, erst wenn ich das Spiel starten möchte, fängt McAfee an zu meckern, dass in der besagten temporären Datei ein Trojaner sei.

Dass das Spiel nicht startet kann natürlich daran liegen, dass McAfee dazwischen funkt.
Ich möchte nun gerne von euch wissen:
Ist es ein Virus/Trojaner/Rootkit? Oder handelt es sich um einen Fehlalarm?
Was kann ich dagegen tun - kann ich überhaupt was tun? Muss ich im Zweifelsfall McAfee zum Spielen eventuell sogar deaktivieren (was ich ungern tun würde)?
Ich habe schon bei Google gesucht, aber nichts wirkliches gefunden, nur in einem Forum eine kleine Randbemerkung: "- Wird von Anti-Viren Programm als Virus erkannt (Securom)."
Liegt es also einfach nur an Securom, bzw. am Virenscanner?

Ich verwende XP Professionell mit aktuellen Sicherheitspatches und Updates.
Ich hoffe ihr könnt mir helfen.

Hallo,

Zitat:

Zitat von retr0virus

... dass in meinem temporären Verzeichnis die Datei "bdMusicb.sys" mit dem Trojanischen Pferd "Generic Rootkit.b" infiziert sei.

McAfee ist auf dem neusten Stand? Wenn nicht, nachholen.
Die Meldung besagt zunächst nämlich nur, dass die Datei heuristisch und nicht anhand einer Signatur erkannt wurde. Ich würde die Datei zunächst mal auf www.virustotal.com überprüfen und mit dem Vermerk, dass es sich vermutlich um einen Fehlalarm handelt, an virus_research[at]nai.com schicken.

Zitat:

Des Weiteren bekomme ich vom Spiel die Meldung, dass ein Konflikt mit einer Emulationssoftware aufgetreten ist: "Conflict with Disc Emulator Software detected. See www.securom.com/emulation for more details."

Hast du DAEMON TOOLS oder ähnliches installiert?

Jo, wie ich schon geschrieben habe: McAfee, System und Spiel sind auf dem neusten Stand.

Daemon Tools IST installiert und ich habe auch nicht vor, darauf zu verzichten. Ich starte Kotor auch nicht von einer Image aus, sondern von der Original CD. Ich vermute allerdings, dass die von McAfee gelöschte Datei benötigt wird und Securom deshalb meckert...

Die Datei kann ich leider nicht irgendwo hin schicken, da McAfee diese sofort löscht, sobald sie durch Kotor/Securom im Temporären Verzeichnis "C:\Dokumente und Einstellungen\retr0virus\Lokale Einstellungen\Temp" erstellt wird.
Wenn Generic Rootkit.b bedeutet, dass es ein unbestimmter also mutmaßlicher Virus sein könnte, dann hoffe ich, dass es tatsächlich nur eine Fehlmeldung ist.
Ich wüsste auch nicht, wo der her kommen könnte - vor allem da er ja wirklich allem Anschein nach durch Securom/Kotor erstellt wird.

mOIn auch

was Haui45 damit sagen/fragen wollte, es kann sein, dass Securom eine ähnliche Blacklist wie z.B. Safedisk besitzt und nicht startet, wenn bestimmte Kopiertools auf deinem Rechner zu finden sind (is ja auch nen Kopierschutz ).

MFG

Zitat:

Zitat von retr0virus

Daemon Tools IST installiert und ich habe auch nicht vor, darauf zu verzichten.

Ob du das vor hast oder nicht, da würde ich zuerst ansetzen.

Zitat:

Ich starte Kotor auch nicht von einer Image aus, sondern von der Original CD.

Manchen Kopierschutzmechanisem reicht es schon, wenn Tools wie DT oder CCD nur installiert sind...

Zitat:

Die Datei kann ich leider nicht irgendwo hin schicken, da McAfee diese sofort löscht, sobald sie durch Kotor/Securom im Temporären Verzeichnis "C:\Dokumente und Einstellungen\retr0virus\Lokale Einstellungen\Temp" erstellt wird.

Konfiguriere deinen Virenscanner so, dass er dich erst um Erlaubnis fragt, bevor er eine Dateioperation durchführt. Wie das geht erfährst du in der Hilfe, ich verwende McAfee nicht.

Jo, ich weiß, dass es vielen Spielen schon reicht, wenn das Programm nur installiert ist.
Ich habe Daemon Tools jetzt auch einmal deinstalliert, es klappt allerdings trotzdem nicht. Eine weitere Software besitze ich nicht. (Kein Nero, Alcohol oder sonstwas).
Es muss an der Virenmeldung liegen, da exakt in der Sekunde, in der McAfee den Virus findet die Fehlermeldung bei Securom erscheint.

Soweit ich herausfinden konnte, kann man bei McAfee keine weiteren Einstellungen machen, was mit gefundenen Dateien passiert. Er versucht sie stets zu reinigen und wenn dies nicht klappt, ist der Reinigungsvorgang ein Löschvorgang.
Das geht so schnell, dass im Explorer nichteinmal die Datei angezeigt wird, bevor sie auch schon wieder gelöscht ist...
Das einzige was ich jetzt noch machen kann ist
A) Die Heuristische Virenerkennung abschalten
B) McAfee abschalten/deinstallieren

Ich werde Methode A einmal ausprobieren...

EDIT: Methode A hat NICHT funktioniert -.-
Der Virus scheint also nicht durch die heuristische Virenerkennung gefunden worden zu sein...
Vor Methode B schrecke ich etwas zurück. Ich würde nur ungern den Virenscanner abschalten. Gerade bei einem möglichen Trojaner/Rootkit.

Zitat:

Zitat von retr0virus

A) Die Heuristische Virenerkennung abschalten
B) McAfee abschalten/deinstallieren

Bei einem vernünftigen Scanner kann man Dateien und Verzeichnisse ausschliessen.

Jo, ich habe ja auch nie behauptet, dass McAfee ein vernünftiger Scanner ist.
Aber er war bei meinem Laptop dabei und ist normalerweise kostenpflichtig. Und darum wollte ich ihn nutzen, bis das Abonnement abgelaufen ist.
So wie ich das sehe, bietet McAfee nahezu überhaupt keine Einstellungsmöglichkeiten... Ich habe McAfee schon früher gehasst, aber seit ich es richtig kenne, verachte ich es regelrecht -.-

Des Weiteren wäre es auch nicht unbeding sinnvoll, das Temp Verzeichnis von Suchen auszuschließen, da gerade hier Viren durchaus zuerst auftauchen können.

Vielleicht sollte ich McAfee einfach runterwerfen und AntiVir installieren. Damit war ich bisher jedenfalls immer zufrieden. Oder ich werfe mal ein bisschen Geld aus dem Fenster und leiste mir Kaspersky. Was ich bisher von Kaspersky gehört habe, war nur Gutes...

EDIT: Was benutzt du für einen Virenscanner?

Du scheinst nicht der einzige mit dem Problem zu sein. http://forums.mcafeehelp.com/viewtop...5ab65ed5bc649d
D.h. du kannst davon ausgehen, dass das Problem wohl mit einem der nächsten Updates erledigt ist.

Zitat:

Zitat von retr0virus

Soweit ich herausfinden konnte, kann man bei McAfee keine weiteren Einstellungen machen, was mit gefundenen Dateien passiert. Er versucht sie stets zu reinigen und wenn dies nicht klappt, ist der Reinigungsvorgang ein Löschvorgang
[...]
So wie ich das sehe, bietet McAfee nahezu überhaupt keine Einstellungsmöglichkeiten... Ich habe McAfee schon früher gehasst, aber seit ich es richtig kenne, verachte ich es regelrecht -.-

Du könntest die Datei beispielsweise nicht löschen, sondern nur in Quarantäne schieben lassen, das geht mit Sicherheit!

Zitat:

Der Virus scheint also nicht durch die heuristische Virenerkennung gefunden worden zu sein...

Der Bezeichnung nach schon.
-> Generic Rootkit.b

Zitat:

EDIT: Was benutzt du für einen Virenscanner?

Keinen - ich sehe in der Verwendung eines AV-Programms keine Vorteile.

Zitat:

Zitat von retr0virus

Jo, ich habe ja auch nie behauptet, dass McAfee ein vernünftiger Scanner ist.

Ich meinte damit eigentlich, dass Du Dich mal mit dem Manual des Scanners vertraut machen sollst.

Zitat:

Was benutzt du für einen Virenscanner?

Wie Haui benutze ich auch keinen Scanner (mehr).

Hmm... interessant.
Bei einer Firewall sehe ich ja durchaus ein, dass sie nicht gebraucht wird, aber ich finde, ein Virenscanner ist doch recht nützlich um zu wissen, ob der Rechner formatiert werden muss oder nicht. Und über Sicherheitslücken in Windows kann ein Virus durchaus mal auf den Rechner gelangen.
Oder auf einer LAN... auch dort kann ein regelrechter Virenhagel auf den Computer prasseln.
Darf ich fragen, wie ihr zu der Annahme gekommen seid, dass ein Virenscanner keinen Sinn mit sich bringt?

In der Hilfe Datei von McAfee stand übrigens wirklich nichts dazu, wie ich eine Abfrage erhalte, so dass die Datei nicht gelöscht wird und/oder nur verschoben/umbenannt/in Quarantäne verschoben wird. - Wie gesagt, ich mag McAfee nicht. Selbst Antivir konnte das. Und wie ich aus dem englischen Thread den Haui angibt entnehmen konnte, müssen die Nutzer dort McAfee auch erst deaktivieren um an die Datei zu kommen.
Es scheint aber wirklich nur ein Fehlalarm zu sein, was mich ungemein beruhigt. Das Problem wird sich wohl dann innerhalb der nächsten Zeit von selbst lösen, sonst deinstalliere ich McAfee...

Vielen Dank für eure Hilfe.
MfG
Retr0Virus

Zitat:

Zitat von retr0virus

Darf ich fragen, wie ihr zu der Annahme gekommen seid, dass ein Virenscanner keinen Sinn mit sich bringt?

Für bekannte Lücken im OS gibt es in 99% der Fäll einen Patch. Für unbekannte Lücken gibt es unbekannte Schädlinge mit denen ein Virenscanner nichts anfangen kann. Für bekannte Schädlinge kann mein sein System derart abschotten, dass bei angemessenem Nutzerverhalten das Infektionsrisiko sehr gering ist.

Die meisten User landen hier im Board weil ihr Virenscanner sie nicht vor einer Infektion schützen konnte und häufig auch nicht in der Lage ist, eine Infektion zu bereinigen. Die Heuristik von Virenscannern arbeitet bisher noch nicht sehr erfolgreich und die signaturbasierte Erkennnung bringt bei Schädlingen bei denen einpaar Zeilen Code geändert wurde meist gar nichts. Und diese modifizierten sind meist die gefährlichen Varianten.

Ein Virenscanner ist nicht komplett sinnfrei, aber wie die Threads hier im Board zeigen, sollte man sich nicht auf sie verlassen. Sehr viele der User werden auf eine Infektion aufmerksam, weil sie Probleme mit dem Rechner feststellen, nicht weil ihr Scanner sie gewarnt hätte.

Zitat:

Zitat von retr0virus

Darf ich fragen, wie ihr zu der Annahme gekommen seid, dass ein Virenscanner keinen Sinn mit sich bringt?

Wie MM schon sagte ist ein Virenscanner sicherlich nicht gänzlich sinnlos. Ich verwende keinen Virenscanner, weil ich ihn einfach nicht brauche.

• Wenn ein Virenscanner eine Datei beanstandet ist es Malware - oder auch nicht.
• Wenn ein Virenscanner eine Datei nicht beanstandet, handelt es sich nicht um Malware - oder eben doch.
• Malware, die auf Zero-Day-Exploits basiert wird in all ihren Variationen i.d.R. erst einige Tage nach dem Bekanntwerden relativ zuverlässig erkannt (vgl. z.B. wmf-Exploit)
• Andere Malware wird von vielen Scannern nur lückenhaft erkannt - ein recht aktuelles Beispiel hierfür wäre "intcodec" - manche Scanner haben kein einziges der 200 Samples erkannt und selbst KAV hat sich mit den Signaturen viel Zeit gelassen...
• Auch Virenscanner haben mitunter Sicherheitslücken.
• Auch ein Virenscanner verbraucht Ressourcen - der eine mehr, der andere weniger.
• Das wichtigste Kriterium, warum ich kein AV-Programm brauche/verwende ist jedoch folgendes: ich installiere mir keine Malware.

Zudem läuft Windows hier nur noch sehr selten.