Hallo zusammen,

nun bin ich doch wieder schneller hier als gedacht.....

Ich habe heute Routinemässig Antivir laufen lassen, wo plötzlich der obige Trojaner gemeldet wurde. Wie der es auf meinen Rechner geschafft hat ist mir ein Rätsel, hab nix runtergeladen o.ä.

Kurios finde ich zudem, daß er im folgendem Pfad gemeldet wurde:
D:\Program Files (x86)\EA SPORTS\FUSSBALL MANAGER 11\activation.x86.dll

Kann es sein, daß sich Antivir hier vertan hat?

Ich habe die betroffene Datei von Antivir in Quarantäne gepackt, anschliessend SUPERAntiSpyware laufen lassen (kein Fund) und Anti-Malware (ebenfalls kein Fund).

Ich habe die Logs alle beigefügt, inkl. der beiden von OTL. Kann mir jemand bitte sagen, ob ich hier wirklich einen Befall habe oder ob sich Antivir vertan hat?

Vielen Dank vorab!

Hallo

wenn es sich um eine Originaldatei handelt, sollte sie sauber sein.
Lass die Datei bitte hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die gesamten Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben oder verlinke auf die Auswertung,
bitte auch wenn nichts gefunden wurde.

MFG

Hi!

So, nach langer Suche hab ich die Datei im Quarantänepfad gefunden und scannen lassen.

Virustotal brachte nichts da völlig überlastet, aber virscan.org brachte ein Ergebnis:

Dateiname : 48aaf4d4.qua
Größe : 3012724 byte
Typ : data
MD5 : 441886716523261db0a439aa172ca3a5
SHA1 : 87eb0e3602cb99761bf897c67b044ce5cd2b972d

Die Größe der Datei ist lt. Eigenschaften 2,87 MB.

Habe zur Vorsicht auch noch Jotti benutzt mit folgendem Ergebnis:

Dateigröße: 3012724 Bytes
Dateityp: Unknown
MD5: 441886716523261db0a439aa172ca3a5
SHA1: 87eb0e3602cb99761bf897c67b044ce5cd2b972d

Moin

ich wollte eigentlich gern wissen, was die einzelenen Programme in der Datei erkannt haben.
Darum ja auch

Zitat:

...poste die gesamten Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben oder verlinke auf die Auswertung,
bitte auch wenn nichts gefunden wurde.

MFG

Oh sorry, ich dachte das wäre alles.....

VirSCAN.org ist etwas unübersichtlich. Habe den Button "Zwischenablage" am Ende der Übersicht benutzt und das hier als Ergebnis bekommen, ist das das richtige?


VirSCAN.org Scanned Report :
Scanned time : 2010/12/19 20:52:48 (CET)
Scanner results: Es wurde keine Infektion ermittelt!
File Name : 48aaf4d4.qua
File Size : 3012724 byte
File Type : data
MD5 : 441886716523261db0a439aa172ca3a5
SHA1 : 87eb0e3602cb99761bf897c67b044ce5cd2b972d
Online report : hxxp://virscan.org/report/af5728c0900ae42a8c4dfdc489a4d179.html

Scanner Engine Ver Sig Ver Sig Date Time Scan result
a-squared 5.1.0.1 20101218031037 2010-12-18 5.59 -
AhnLab V3 2010.12.17.05 2010.12.17 2010-12-17 1.66 -
AntiVir 8.2.4.131 7.11.0.83 2010-12-17 0.28 -
Antiy 2.0.18 20101207.6186214 2010-12-07 20.02 -
Arcavir 2010 201012200333 2010-12-20 0.04 -
Authentium 5.1.1 201012191247 2010-12-19 1.40 -
AVAST! 4.7.4 101219-0 2010-12-19 0.12 -
AVG 8.5.850 271.1.1/3299 2010-12-06 0.24 -
BitDefender 7.90123.6457533 7.35215 2010-12-20 6.16 -
ClamAV 0.96.3 12414 2010-12-19 0.08 -
Comodo 4.0 7119 2010-12-19 0.91 -
CP Secure 1.3.0.5 2010.12.19 2010-12-19 0.12 -
Dr.Web 5.0.2.3300 2010.12.20 2010-12-20 12.74 -
F-Prot 4.4.4.56 20101219 2010-12-19 1.41 -
F-Secure 7.02.73807 2010.12.18.02 2010-12-18 0.13 -
Fortinet 4.2.254 12.689 2010-12-19 0.14 -
GData 21.1335/21.552 20101219 2010-12-19 6.68 -
ViRobot 20101217 2010.12.17 2010-12-17 0.41 -
Ikarus T3.1.32.15.0 2010.12.19.77382 2010-12-19 5.55 -
JiangMin 13.0.900 2010.11.30 2010-11-30 1.38 -
Kaspersky 5.5.10 2010.12.19 2010-12-19 0.04 -
KingSoft 2009.2.5.15 2010.12.19.12 2010-12-19 0.77 -
McAfee 5400.1158 6200 2010-12-17 2.34 -
Microsoft 1.6402 2010.12.19 2010-12-19 5.36 -
Norman 6.06.11 6.06.00 2010-12-07 10.02 -
Panda 9.05.01 2010.12.18 2010-12-18 6.63 -
Trend Micro 9.120-1004 7.710.08 2010-12-19 0.02 -
Quick Heal 11.00 2010.12.19 2010-12-19 2.57 -
Rising 20.0 22.78.05.00 2010-12-18 0.21 -
Sophos 3.14.1 4.60 2010-12-20 3.03 -
Sunbelt 3.9.2464.2 7712 2010-12-18 0.82 -
Symantec 1.3.0.24 20101219.003 2010-12-19 0.26 -
nProtect 20101219.01 9365782 2010-12-19 14.33 -
The Hacker 6.7.0.1 v00101 2010-12-14 0.56 -
VBA32 3.12.14.2 20101216.2136 2010-12-16 3.17 -
VirusBuster 4.5.11.10 10.130.48/1996480 2010-12-17 2.74 -

Hallo

gut, dieses Ergebnis hatte ich erhofft.

Entlass die Datei bitte aus der Quaratäne und stell sie auf den Desktop wieder her.
Lade die Datei bitte nun hier hoch:
Submit your sample
Wähle bei Typ bitte Verdacht auf Fehlalarm, du wirst innerhalb weniger Tage ein Ergebnis per Mail erhalten, welches ich gern sehen möchte.

Eventuell wird die Datei nach einem Update aber jetzt schon nicht mehr als Schaddatei erkannt, bitte teste das.


MFG

Hi,

alles klar, danke!

Ich habe die Datei entsprechend aus der Quarantäne geholt undauf dem Dektop hinterlegt, anschliessend über den Link hochgeladen. Eben im Anschluss Antivir aktualisiert und nochmals laufen lassen, er findet weiterhin das diese Datei nicht ok ist. Sie befindet sich wieder in Quarantäne.

Sobald ich das Ergebnis von der anderen Sache bekomme, poste ich es hier. Danke nochmals!

So, das ging ja schnell. Hier die Antwort der Dateianalyse:

Sehr geehrte Dame, sehr geehrter Herr,

Vielen Dank für Ihre Email an Avira's Virenlabor.
Auftragsnummer: INC00656564.


Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführtatei ID Dateiname Größe (Byte) Ergebnis
25988345 activation.x86.dll 2.87 MB FALSE POSITIVE



Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt: Dateiname Ergebnis activation.x86.dll FALSE POSITIVE


Die Datei 'activation.x86.dll' wurde als 'FALSE POSITIVE' eingestuft. Dies bedeutet, dass diese Datei nicht gefährlich und eine Fehlmeldung unsererseits ist. Das Erkennungsmuster wird mit einem der nächsten Updates der Virendefinitionsdatei (VDF) entfernt werden.

Alternativ können Sie die Ergebnisse der Analyse hier einsehen:
hxxp://analysis.avira.com/samples/details.php?uniqueid=kFzxwHKEgfNvMEEnXMLkPHkIqntJ7Ojn&incidentid=656564

Zusätzlich finden Sie eine Übersicht aller Einsendungen hier:
hxxp://analysis.avira.com/samples/details.php?uniqueid=kFzxwHKEgfNvMEEnXMLkPHkIqntJ7Ojn

Hinweis: Bitte wenden Sie sich mit spezifischen Fragen an support@avira.de

Mit besten Grüßen
Avira Virenlabor

Puh, da bin ich beruhigt. Weitere Funde gab es nicht. Besten Dank nochmals für die Hilfe.

Hallo

Zitat:

Die Datei 'activation.x86.dll' wurde als 'FALSE POSITIVE' eingestuft. Dies bedeutet, dass diese Datei nicht gefährlich und eine Fehlmeldung unsererseits ist. Das Erkennungsmuster wird mit einem der nächsten Updates der Virendefinitionsdatei (VDF) entfernt werden.

sollte das Einpflegen der Signatur für diese Datei länger dauern, kannst du sie bei Antivir vorrübergehend als Ausnahme hinzufügen (wird dann vom Programm ignoriert).

Sonst wünsch ich noch viel Spaß mit dem Spiel und schöne Feiertage.


MFG

Hi,

alles klar, danke für den Tip. Dir ebenfalls frohe Festtage und danke nochmals.