Kav_6
 

Hallo
mein Antivirenprogramm (Kaspersky 6) hat etwas gefunden. Zwar keinen Virus, sondern ein
"schädliches Programm" : Hoax.Win32.WebMoner.c

und zwar in folgender Datei:
C:\KAV_6.0\KAV6.exe/UPX

Dort steht etwas von Updatepaket Critical Fix 1 für die Anwendung Kaspersky Anti-Virus 6.0
Kaspersky ist ja in C:\Programme\Kaspersky Lab\.... installiert.

Meine Fragen:
Wer hat auch KAV6 und dieses Verzeichnis "KAV_6" ?
Wenn es ein Updatepaket war, kann man das Verzeichnis löschen?

Na toll! :daumenhoc Kasperle selbst produziert Viren, um die dann schnellstmöglich zu erkennen :D
Übrigens: Ein Hoax ist normalerweise kein richtiger Schädling, sondern eine Art von Scherz-Viren.
@woodle
Jepp ;). Eine Frage dazu: Hast du irgendwelche Updates für KAV manuell heruntergeladen? AFAIU ist die Herkunft des Ordners C:\KAV_6.0\ dir nicht bekannt. Oder hast du den irgendwann angelegt?
An deiner Stelle würde ich den Kontakt mit KAV-Support aufnehmen (hoffentlich hast du die legale Version von KAV drauf ;) )

@Rene_gad
Das ist es je garade. Das Verzeichnis habe ich selbst nicht angelegt und ein Update habe ich manuell nicht heruntergeladen. Natürlich lade ich jeden Tag "Updates" herunter, halt die Updates der Virendefinitionen. Dabei werden allerdings auch Programmupdates mit heruntergeladen und installiert. Daß dabei gleich ein separates Verzeichnis angelegt wird, wußte ich nicht bzw. weiß ich nicht. Das muß ich beim Support noch abklären.
(Natürlich ist das Programm legal drauf) Geht das überhaupt illegal?:rolleyes:

Poste doch mal sicherheitshalber ein Hijackthis-Logfile.

http://forum.kaspersky.com/index.php?showtopic=23892

Crosspostings sind nicht so schön. :rolleyes:

Was mich interessiert, wo hast du das Programm heruntergeladen bzw. wo ist es her, ich kann mich dunkel an einen ähnlichen Fall erinnern.


Domino

Das ist mir hinterher erst eingefallen als ich hier schon geschrieben hatte
und beim Support mußte ich ja eh noch anfragen

Welches Programm?
Wenn du das "KAV6.exe" meinst, das habe ich nicht heruntergeladen, das habe ich heute eben vorgefunden. Installiert ist es offensichtlich nicht und eben diese exe-Datei habe ich nicht aufgerufen und werde ich auch nicht aufrufen.

HJT ist unauffällig. Alles was unter "unknown" steht ist mir bekannt.
http://www.hijackthis.de/logfiles/32...4a4f2a0f4.html

wie macht man das, daß es als Link anklickbar ist?
Geht doch. (automatisch)

Jo, lt. Logfile scheint Dein System sauber zu sein. Trotzdem hab ich gestern nen Fall gehabt, wo das Logfile sauber war aber dennoch mindestens ein Backdoor-Schädling lief.
Da Du einen guten Virenscanner hast, würde ich vorschlagen, Du machst mit dem Kaspersky ein Komplettcheck im abesicherten Modus von Windows. (Vorher die Signaturen aktualisieren!)
Wenn fertig, poste die Berichtsdatei von Kaspersky.

OK.
Ich komme nur leider heute nicht mehr dazu. Vermutlich wird es Sonntag oder Montag.

Vielen Dank erstmal für die Tipps.

Zur Information:
Ich denke ich spare mir den Scan im abgesicherten Modus, denn ich habe vom Kaspersky-Support Antwort auf meine Frage erhalten:

"Die Installation-Dateio von 6. Version ist ein selbstextrahierende Archiv, das beim Start der Installation standardgemaess in diesem Ordner alle Dateien herauspackt."

Das Verzeichnis hatte ich schon auf eine andere Platte verschoben, ohne daß etwas passiert ist. Und nun werde ich es löschen.
D.h. es bleibt ja immer noch die Frage wie dieser Hoax da hineinkam. Dann mache ich den Scan halt doch noch, wenn ich viel Zeit habe.

Ich meinte die Ausgangssoftware. Wo ist die her ? Ich will jetzt nicht auf etwas illegales hinaus. War das die Penny-Aktion, oder etwas in der Art oder die *.msi Installationsdatei von den Kasperskyservern ?


edit: Das entscheidende Wort "nicht" vergessen, sorry. *schäm*


Domino

Du hast das Installationspaket bei Arvato heruntergeladen. Dieses Paket legt genannten Ordner an und darin fand sich dann ein Fehlalarm. Richtig ?



Domino

Irgendwie stehe ich auf dem Schlauch. Woher soll ich Kaspersky haben? Gekauft, online bei Element5 und von deren Server heruntergeladen. Und die Updates (und damit auch ev. die Programmupdates) direkt über die Programmupdate-Funktion von Kaspersky.
Wie man mir jetzt vom KAV-Support mitgeteilt hat, wird dieses Verzeichnis wohl bei der Installation von KAV angelegt. Siehe mein letztes Posting.
So, und dieses Verzeichnis habe ich jetzt gelöscht!!

@cosinus
Den Scan im abgesicherten Modus habe ich jetzt sogar auch noch gemacht.
Es wurde nichts gefunden. Ab-so-lut nichts. *freu*

Jetzt bin ich beruhigt und schaue halt gelegentlich, ob nicht doch was ist.
Gibt es noch ein anderes, vergleichbares, Programm, außer HJT, das laufende Prozesse zuverlässig auflistet? Du hattest doch gesagt, daß du von einem Fall gehört hast, bei dem das Logfile "sauber" war, im Hintergrund aber trotzdem ein Backdor lief.

Nun, es gibt verschiedene Möglichkeiten das Programm zu erwerben. Deshalb wollte ich das wissen. Die *.msi Installationsdateien direkt von Kaspersky legen dieses Verzeichnis eben nicht an. Hättest du also eine Installationsdatei die dieses Verzeichnis nicht anlegt benutzt und plötzlich findet sich da etwas dann wäre das ein eindeutiges Alarmzeichen gewesen.
Nun ist aber klar, dass dieses Verzeichnis auf deinem Rechner seine Berechtigung hat, es wurde während der Installation angelegt - nicht bei einem Update.
Deshalb fragte ich. :daumenhoc



Domino

Hallo,

scheint häufiger vorzukommen, aber ne' Lösung gibt es wohl noch nicht.

Forum

Jetzt wird sie als: trojanisches Programm Trojan-Downloader.Win32.Small.bxa
erkannt.
:headbang:

Kaspersky ist informiert.



Domino