Hallo zusammen,
nach Jahren des virenfreien Lebens unter MacOSX habe ich nun doch wieder einen Rechner mit Windows in den Fingern und direkt meldet sich AntiVir recht freundlich
Direkt nach dem Download eine Datei die infizierte Datei entdeckt ... löschen funktioniert soweit. Das System hat also noch nichts ab bekommen. Nachdem ich hier im Forum ein wenig zum Dropper laß, habe ich die Datei mal bei virustotal.com testen lassen. Mich verwundert, dass nur so wenige Engines diesen Trojaner erkennen ( 5 von 40 ). Sind die Engines wirklich so unterschiedlich in der Erkennung oder kann es sich hierbei auch nur um eine versehentliche Einstufung als Trojaner handeln ? Was mich auch wundert ist, dass verschiedene Trojaner erkannt wurden.

Schon mal danke für Eure Hilfe !

Hier das Protokoll von VirusTotal.com:

Code: Alles auswählenAufklappen

ATTFilter

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
a-squared	4.0.0.101	2009.04.02	-
AhnLab-V3	5.0.0.2	2009.04.02	-
AntiVir	7.9.0.129	2009.04.02	TR/Dropper.Gen
Antiy-AVL	2.0.3.1	2009.04.02	Trojan/Win32.Chifrax
Authentium	5.1.2.4	2009.04.01	-
Avast	        4.8.1335.0	2009.04.01	-
AVG	        8.5.0.285	2009.04.02	-
BitDefender	7.2	2009.04.02	-
CAT-QuickHeal	10.00	2009.04.01	-
ClamAV	0.94.1	2009.04.02	-
Comodo	1093	2009.04.01	-
DrWeb	4.44.0.09170	2009.04.02	-
eSafe	7.0.17.0	2009.04.02	-
eTrust-Vet	31.6.6430	2009.04.02	-
F-Prot	4.4.4.56	2009.04.01	-
F-Secure	8.0.14470.0	2009.04.02	-
Fortinet	3.117.0.0	2009.04.02	-
GData	19	2009.04.02	-
Ikarus	T3.1.1.49.0	2009.04.02	-
K7AntiVirus	7.10.690	2009.04.01	-
Kaspersky	7.0.0.125	2009.04.02	-
McAfee	5571	2009.04.01	-
McAfee+Artemis	5571	2009.04.01	-
McAfee-GW-Edition	6.7.6	2009.04.01	Trojan.Dropper.Gen
Microsoft	1.4502	2009.04.02	-
NOD32	3983	2009.04.02	-
Norman	6.00.06	2009.04.01	-
nProtect	2009.1.8.0	2009.04.02	Trojan/W32.Chifrax.559024
Panda	10.0.0.14	2009.04.01	-
PCTools	4.4.2.0	2009.04.01	-
Prevx1	V2	2009.04.02	-
Rising	21.23.32.00	2009.04.02	-
Sophos	4.40.0	2009.04.02	-
Sunbelt	3.2.1858.2	2009.04.02	Trojan-Dropper.Gen
Symantec	1.4.4.12	2009.04.02	-
TheHacker	6.3.4.0.298	2009.04.01	-
TrendMicro	8.700.0.1004	2009.04.02	-
VBA32	3.12.10.2	2009.04.02	-
ViRobot	2009.4.2.1673	2009.04.02	-
VirusBuster	4.6.5.0	2009.04.01	-
weitere Informationen
File size: 2078005 bytes
MD5...: ba3cf4e80842db8a6327547ae7a8a23c
SHA1..: 8c4cb39e887d5654994a780db01f66c0796ae00b
SHA256: dd8223a703f2c6c2f3ea391132d1275796d270456e5112b5db2ee891f7af411f
SHA512: be480c7ecbe33e86b9c8ca7fb1cac00760493b07696d6d64fd5d0ef8d1ace7fb
773bceebb0229211320500e8b6b296559f9c9321e3047b68e169f42287d2a9ba
ssdeep: 49152:R1zXh1sAviw81TdgyHmJsyRDHDH/4r2rYfDo//mWhCB7:tBKwcTdfmJbHD
H/4r2MLo//GB7
PEiD..: -
TrID..: File type identification
WinRAR Self Extracting archive (96.2%)
Win32 Executable Generic (1.5%)
Win32 Dynamic Link Library (generic) (1.4%)
Generic Win/DOS Executable (0.3%)
DOS Executable Generic (0.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000
timedatestamp.....: 0x4894133d (Sat Aug 02 07:56:45 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x14000 0x13a00 6.48 b4fb79885c55492e7af6d4be13b922cf
.data 0x15000 0x8000 0xa00 4.94 6b3642729564e92f38646d9f50a5c940
.idata 0x1d000 0x2000 0x1200 4.79 4223794b90a12cb19ec33fbd0cd56503
.rsrc 0x1f000 0x19764 0x19800 7.54 81984b448e3bd8d0a16a103cdf3060dc

( 8 imports )
> ADVAPI32.DLL: AdjustTokenPrivileges, LookupPrivilegeValueA, OpenProcessToken, RegCloseKey, RegCreateKeyExA, RegOpenKeyExA, RegQueryValueExA, RegSetValueExA, SetFileSecurityA, SetFileSecurityW
> KERNEL32.DLL: CloseHandle, CompareStringA, CreateDirectoryA, CreateDirectoryW, CreateFileA, CreateFileW, DeleteFileA, DeleteFileW, DosDateTimeToFileTime, ExitProcess, ExpandEnvironmentStringsA, FileTimeToLocalFileTime, FileTimeToSystemTime, FindClose, FindFirstFileA, FindFirstFileW, FindNextFileA, FindNextFileW, FindResourceA, FreeLibrary, GetCPInfo, GetCommandLineA, GetCurrentDirectoryA, GetCurrentProcess, GetDateFormatA, GetFileAttributesA, GetFileAttributesW, GetFileType, GetFullPathNameA, GetLastError, GetLocaleInfoA, GetModuleFileNameA, GetModuleFileNameW, GetModuleHandleA, GetNumberFormatA, GetProcAddress, GetProcessHeap, GetStdHandle, GetSystemTime, GetTempPathA, GetTickCount, GetTimeFormatA, GetVersionExA, GlobalAlloc, HeapAlloc, HeapFree, HeapReAlloc, IsDBCSLeadByte, LoadLibraryA, LocalFileTimeToFileTime, MoveFileA, MoveFileExA, MultiByteToWideChar, ReadFile, SetCurrentDirectoryA, SetEndOfFile, SetEnvironmentVariableA, SetFileAttributesA, SetFileAttributesW, SetFilePointer, SetFileTime, SetLastError, Sleep, SystemTimeToFileTime, WaitForSingleObject, WideCharToMultiByte, WriteFile, lstrcmpiA, lstrlenA
> COMCTL32.DLL: -
> COMDLG32.DLL: CommDlgExtendedError, GetOpenFileNameA, GetSaveFileNameA
> GDI32.DLL: DeleteObject
> SHELL32.DLL: SHBrowseForFolderA, SHChangeNotify, SHFileOperationA, SHGetFileInfoA, SHGetMalloc, SHGetSpecialFolderLocation, ShellExecuteExA, SHGetPathFromIDListA
> USER32.DLL: CharToOemA, CharToOemBuffA, CharUpperA, CopyRect, CreateWindowExA, DefWindowProcA, DestroyIcon, DestroyWindow, DialogBoxParamA, DispatchMessageA, EnableWindow, EndDialog, FindWindowExA, GetClassNameA, GetClientRect, GetDlgItem, GetDlgItemTextA, GetMessageA, GetParent, GetSysColor, GetSystemMetrics, GetWindow, GetWindowLongA, GetWindowRect, GetWindowTextA, IsWindow, IsWindowVisible, LoadBitmapA, LoadCursorA, LoadIconA, LoadStringA, MapWindowPoints, MessageBoxA, OemToCharA, OemToCharBuffA, PeekMessageA, PostMessageA, RegisterClassExA, SendDlgItemMessageA, SendMessageA, SetDlgItemTextA, SetFocus, SetMenu, SetWindowLongA, SetWindowPos, SetWindowTextA, ShowWindow, TranslateMessage, UpdateWindow, WaitForInputIdle, wsprintfA, wvsprintfA
> OLE32.DLL: CLSIDFromString, CoCreateInstance, CreateStreamOnHGlobal, OleInitialize, OleUninitialize

( 0 exports )
         

Hallöle.

Was hast du dir da runtergeladen?

Hast du die Datei ausgeführt? Oder nur gescannt? Denn nur weil AntiVir irgendwas löscht heisst das nicht, dass das System nicht doch infiziert wurde.
Das ist nämlich eher die Regel als die Ausnahme.

Risiko eines Droppers: Sehr hoch! Da du keine Ahnung hast was gedroppt wurde.

Über Virenscanner

AV-Programme schützen dich nur rudimentär. Den rest muss dein Hirn und ein abgesichertes System übernehmen.

HIHO

undoreal hat recht das Risiko ist riesig. Hatte das selbe Problem mit einer Datei die irgendwie A00irgendwas.exe hieß und 2 weitere A00irgendwas.exe Dateien gedroppt hat. Diese wiederum waren ein Trojaner und ein Rootkit. Das hat sich dann auf eine Neuaufsetzung belaufen weil die Datei mit nichts verschwunden ist. Neuaufsetzen empfehle ich dir aber noch lange nicht denn nicht jeder Virus kann nur mit einer Neuaufsetzung gelöscht werden

Ob es in deinem Fall eine Fehlermeldung war ist schwer zu sagen denn 5 / 40 antivirus programmen können lügen , müssen es aber nicht! Deswegen bist du noch nicht auf der sicheren Seite wenn du "Löschen" drückst!! Der Virus kann sich wiederherstellen oder neu downloaden oder es war tatsächlich eine Fehlermeldung und du hast eine wichtige Datei gelöscht? Man schiebt infizierte Daten grundsätzlich in quarantäne und guggt im Internett ob es Fehler war oder nicht. Wenn es mit mehrfacher (!) bestätigung ein Fehler ist dann wieder freigeben ansonsten Löschen!

FORTSETZUNG


Aber wie gesagt der Virus kehrt warscheinlich zurück. Mit Neuaufsetzen ist man mit 99% auf der sicheren Seite.

Die Viren heißen anders weil manche antivir programme den genauen Namen des Virus wussten die anderen nicht und eben nur als Dropper einstuften.

Danke erstmal für eure Antworten. Wie ich bereits im ersten Post geschrieben hatte, habe ich die Datei nicht ausgeführt. Direkt nach dem Download und vor irgendeiner Interaktion meinerseits mit der Datei hat sich AntiVir gemeldet. Demnach ist der Trojaner auch noch nicht zur Ausführung gekommen. Zum Glück hat der Firefox ja nicht so eine "Autostart"-Funktion wie beispielsweise Safari.

Ich denke mal, dass das Thema sich damit erledigt hat und ich den Download direkt nach /dev/null verschieben werde

Danke nochmal.

HI,

also nur weil du nichts ausgeführt hast bedeutet das nicht das du schon damit fertig bist. Viren können sich nach dem Download in autoexc.bat kopieren , dann werden sie automatisch beim nächsten Neustart aktiv. Dein Dropper könnte auch gedroppt haben. Hast du bei einem Avira Suchlauf etwas gefunden? Wenn du keinen gemacht hast, mach bitte einen!