Frag mich bitte was Leichteres. Bewusst und absichtlich habe ich mich in dem Verzeichnis in den letzten 12 Monaten jedenfalls nicht bewegt.

Jetzt verstehe ich den Hintergrund Deiner Frage (nach der PN vom Kollegen, der mir ein "Bringschuld" attestiert hat, wegen Verdacht auf ilegale Software; daran hatte ich nicht mal gedacht). Das ist der Installer für eine Erweiterung zu einer Mod für Morrowind (die Mod heißt Sea of Destiny, die Erweiterung Frost Fall, also Sea of Destiny: Frost Fall, kurz sodff). Frei verfügbar auf hxxp://www.gamefront.com/files/listing/pub2/elder-scrolls-3-morrowind. Beispielsweise.

Meine Soft ist legit. Alle 2 TB (500 GB Sicherungskopien, Dubletten und anderen Müll habe ich inzwischen gelöscht, um die tagelangen Scans zu beschleunigen).

Ich wollte das eigentlich hinterfragen weil ich wissen wollte, ob das ein Fehlalarm ist oder eher nicht!

Ich mache meinem Alias alle Ehre. Diese PN habe ich gestern bekommen

Ich hätte nur auf die Zahl der Beiträge von dem Jungen sehen müssen, dann wäre mir klar gewesen, dass der hier kein Admin oder sonstwas ist. Aber der Vorwurf, ich hätte mir die Malware über cracks eingefangen, hat mich vor heiligem Zorn blind gemacht.

Naja. Hier jedenfalls der (editierte) Auswurf von SAS (die tracking cookies habe ich gelöscht; davon sind immerhin 504 gefunden worden; ich schicke Dir die Liste gerne per PN). Ich habe SAS noch nichts löschen lassen, sondern lasse den Scan result jetzt mal so stehen bis ich von Dir höre..

Trojan.Agent/Gen-StartPage in \PROJECT BLACKOUT\UNINST.EXE ist ein bestätigter false positive laut SAS Forum.
Die anderen Funde, die mir nach false positives aussehen, habe ich an SAS eingeschickt. Das sind

Adware.Zwangi
F:\PROGRAMME\INFRARECORDER\UNINSTALL.EXE
L:\Lxxx\Hxxx\EIGENE DATEIEN\FREECIV\UNINSTALL.EXE
Heur.Agent/Gen-WhiteBox
G:\GAMES\PATCHES\STAR_RULER\SR_V1.0.5.0-V1.0.5.2.EXE
G:\GAMES\PATCHES\STAR_RULER\SR_V1.0.5.2-V1.0.5.4.EXE
G:\GAMES\PATCHES\STAR_RULER\SR_V1.0.7.2-V1.0.7.4.EXE
Trojan.Agent/Gen-FraudPack
G:\GAMES\PATCHES\STAR_RULER\SR_V1.0.6.0-V1.0.6.2.EXE

Ich habe für das Schreiben dieser Antwort längere Zeit benötigt, während der ich offensichtlich automatisch ausgelogt wurde. Dann sieht es immer erst mal aus, als müsste man alles nochmal schreiben. Ich plädiere für entweder:
1. Vergrößerung der Zeitspanne bis zum automatischen Kick,
oder
2. Konservierung der "Nachricht"-Box über den Kick hinaus

P.S. Keine Ergebnisse bei Google zu sodff.exe und "Sality". Ich würde das File ja mal bei Virustotal prüfen lassen, aber es ist natürlich jetzt weg.

Hier ist, was virustotal zu der Version von sodff.exe sagt, die momentan unter hxxp://www.gamefront.com/files/3969878/Sea_of_Destiny__Frost_Fall heruntergeladen werden kann

Ich habe diese aktuelle Version des sodff.exe noch einmal von hxxp://www.gamefront.com/files/3969878/Sea_of_Destiny__Frost_Fall heruntergeladen, auf einen USB Stick kopiert, und den mit Malwarebytes gescannt. Das Ergebnis ist immer noch der Fund von Virus.Sality. Es handelt sich also mit ziemlicher Sicherheit um einen falschen Alarm.

Noch eine Anmerkung zum Forum: laut e-mail Benachrichtigung hat mir popeye2 auf meine Antwort hin noch eine PN gesendet. Die kann ich aber nicht einsehen. Wenn ich oben rechts auf "Private Benachrichtigungen: 1" klicke, komme ich immer nur zu der alten, ersten Nachricht von Popeye2, auf die Zweite kann ich nirgends zugreifen.

Bin ich jetzt endgültig allen so auf die Nerven gegangen, dass keiner mehr Lust hat? Falls ja, entschuldige ich mich.

Also solche Aussagen bringen mich immer wieder zum Kopfschütteln :balla:
Was erwartest du in einem Forum? Glaubst du das ist hier eine Hotline wo jeder Helfer 24/7 zu Befehl auf deine Reaktionen wartet!?

ICH habe auch ein Privatleben und es kann auch mal sein, dass man mal erst abends oder am nächsten Tag antwortet!

Sry für die deutlichen Worte, aber manchmal hab ich den Eindruck dass solche Banalitäten eben doch nicht immer für jeden klar sind. :rolleyes:



Edit: So, nachdem was ich gesehen habe, sollte die sodff.exe ein Mod für ein Spiel sein.


Diese Patches kennst du, was soll das sein?

Du möchtest mal den Haken oben rechts beim Login setzen => angemeldet bleiben

Nein, glaube ich nicht. Ich habe aber einige Kommentare vom Stapel gelassen, die man schon auch in den falschen Hals kriegen kann, wie mir leider erst hinterher klar wurde (Genau wie ich die PN von Popeye2 in den falschen Hals gekriegt habe. Er wollte mir, glaube ich jetzt, nur helfen, ein Missverständnis zu vermeiden). Dafür wollte ich mich entschuldigen. Nicht auf Antwort drängen.

Doch, ist mir klar, und war mir klar. Schwamm drüber.

Genau

Das sind Patches zu dem Spiel Star Ruler. Star Ruler war anfangs recht unfertig, und wurde in einer langen Reihe von Patches verbessert und spielbar gemacht. Ich habe es von Gamersgate gekauft, und die stellen die Patches auf ihrer Webseite zum Runterladen ein (nicht so wie Steam, wo die Patches automatisch eingespielt werden). Eigentlich brauche ich die Patches jetzt nicht mehr, denn ich habe das Spiel ja gepatcht, aber ich halte die Installationsroutinen eigentlich immer komplett vor (vielleicht geht Gamersgate ja doch mal pleite).

FreeCiv ist ebenfalls ein Spiel, im wesentlichen eine Freeware Version des Klassikers Civilization. Dafür gibt es auch eine uninstall.exe. ich habe die Datei zwar noch nicht benutzt ode bewusst ihre Existenz zur Kenntnis genommen, bin aber auch nicht erstaunt darüber, sie zu finden.
InfraRecorder ist ein Open-Source-Brenntool (hxxp://www.chip.de/downloads/InfraRecorder-32-Bit_23790700.html). Ich brenne nur selten was auf CD, daher habe ich keine kommerzielle Soft dafür. Hier gilt im Wesentlichen das gleiche wie für die FreeCiv uninstall.exe.

Ah so geht das. Ich habe mich immer gewundert, was der Effekt dieses Hakens ist. Noob halt.

Gut. Dann kann man das als Fehlalarm abstempeln.
Noch Probleme?

Wegen der anderen Funde zB hier:

Adware.TryMedia
G:\SYSTEM VOLUME INFORMATION\_RESTORE{E196F8E3-EA37-43A7-9F59-119537B7DE90}\RP250\A0071554.EXE

In System Volume Information sind die Dateien für Wiederherstellungspunkte gespeichert.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Je nun. Ich habe immer noch SAS offen, und es wartet auf Anweisungen (da ich nicht weiß, ob sich die Situation nach dem Schließen des Programms wieder herstellen lässt, läuft der Rechner seit dem Scan). Die 500 Tracking cookies lösche ich natürlich einfach. sodff.exe und die 4 Star Ruler Patches sind wohl vertrauenswürdig.

Was mache ich mit dem Rest? Mal bei Virustotal scannen? Die _Restore files auf G:\ und L:\ kann man sicher schlicht löschen (G:\war mal eine Bootpartition, ist es aber nicht mehr; wie ein Systemwiederherstellungspunkt auf die externe Platte L:\ kommt, ist mir allerdings ein Rätsel), zumindest Vista lässt mich in die Sytem Volume Information Verzeichnisse aber gar nicht rein. Die Google\Chrome\Cache Dateien kann man wohl auch gefahrlos runterschmeißen. Keine Ahnung woher die kommen, ich benutze Chrome nur sehr selten.

Die Systemwiederherstellung auf C:\ habe ich jetzt jedenfalls mal deaktiviert.

Ich habe die Uninstaller von Freeciv und infrarecorder sowie die Star Ruler patches auf das SAS false positives forum gestellt und über die entsprechende Funktion des Programms an SAS gesendet. Leider scheint SAS auf solche Beiträge nicht zu reagieren.

Zu dem Rest hab ich mich doch geäußert oder meinst du wieder was anderes :confused:

Dann muss ich Dich falsch (oder eben nicht) verstanden haben. Zu den folgenden Hits sah ich noch keine Handlungsanweisung (also: SAS löschen lassen oder eben nicht)

Die Hits in den _restore dateien lasse ich SAS löschen, die von mir als unproblematisch gesehenen (die uninstaller) lasse ich stehen