Hallo zusammen,

mein letzter Systemscan mit Antivir hat mir einen Trojaner namens TR/Dropper.Gen im Verzeichnis EA SPORTS\NHL 2004 angezeigt. HJT hat bislang noch nie irgendwie gemosert...gehört die zugehörige Datei evtl. da hin oder hat mich was befallen?????

Hallo

lass die Datei doch mal hier Virustotal, hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 36 AntiVirus Engine, Last Update(080422)
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

Zitat:

Zitat von nochdigger

Hallo

lass die Datei doch mal hier Virustotal, hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 36 AntiVirus Engine, Last Update(080422)
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

das mach ich sofort..klär mich nur bitte auf, was MD5 und SHA1 Angaben sind..

Zitat:

Zitat von nochdigger

Hallo
lass die Datei doch mal hier Virustotal, hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 36 AntiVirus Engine, Last Update(080422)
oder hier ,
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

HTML-Code:

Okay, dann will ich mal: [url=virusscan.jotti.org/de/]Jotti[/url] :
 Datei:  	 dev-rtp.exe
Status: 	VIELLEICHT INFIZIERT/MALWARE
Entdeckte Packprogramme: 	-
Bit9 rapportiert: 	
 
A-Squared 	Keine Viren gefunden
AntiVir 	TR/Dropper.Gen gefunden
ArcaVir 	Keine Viren gefunden
Avast 	        Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender 	Keine Viren gefunden
ClamAV 	Keine Viren gefunden
CPsecure 	Keine Viren gefunden
Dr.Web 	Keine Viren gefunden
F-Prot Antivirus 	Keine Viren gefunden
F-Secure Anti-Virus 	Keine Viren gefunden
Fortinet 	Keine Viren gefunden
Ikarus 	Keine Viren gefunden
Kaspersky Anti-Virus 	Keine Viren gefunden
NOD32 	Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
Panda Antivirus 	Keine Viren gefunden
Sophos Antivirus 	Keine Viren gefunden
VirusBuster 	Keine Viren gefunden
VBA32 	Keine Viren gefunden

Virustotal

HTML-Code:

Datei dev-rtp.exe empfangen 2008.04.29 19:06:18 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 3/32 (9.38%)

AhnLab-V3	2008.4.30.0	2008.04.29	-
AntiVir	7.8.0.10	2008.04.29	TR/Dropper.Gen
Authentium	4.93.8	2008.04.27	-
Avast	4.8.1169.0	2008.04.29	-
AVG	7.5.0.516	2008.04.29	-
BitDefender	7.2	2008.04.29	-
CAT-QuickHeal	9.50	2008.04.29	-
ClamAV	0.92.1	2008.04.29	-
DrWeb	4.44.0.09170	2008.04.29	-
eSafe	7.0.15.0	2008.04.28	-
eTrust-Vet	31.3.5744	2008.04.29	-
Ewido	4.0	2008.04.29	-
F-Prot	4.4.2.54	2008.04.28	-
F-Secure	6.70.13260.0	2008.04.29	Suspicious:W32/Malware!Gemini
FileAdvisor	1	2008.04.29	-
Fortinet	3.14.0.0	2008.04.29	-
Ikarus	T3.1.1.26	2008.04.29	-
Kaspersky	7.0.0.125	2008.04.29	-
McAfee	5284	2008.04.29	-
Microsoft	1.3408	2008.04.22	-
NOD32v2	3063	2008.04.29	-
Norman	5.80.02	2008.04.29	-
Panda	9.0.0.4	2008.04.29	-
Prevx1	V2	2008.04.29	-
Rising	20.42.12.00	2008.04.29	-
Sophos	4.28.0	2008.04.29	-
Sunbelt	3.0.1056.0	2008.04.17	-
Symantec	10	2008.04.29	-
TheHacker	6.2.92.297	2008.04.29	-
VBA32	3.12.6.5	2008.04.29	-
VirusBuster	4.3.26:9	2008.04.29	-
Webwasher-Gateway	6.6.2	2008.04.29	Trojan.Dropper.Gen
weitere Informationen
File size: 109056 bytes
MD5...: ef7d7a3a2297e9acc5913ea54184209b
SHA1..: 63d0470633851ea4d873ad451de824c4a4ae41f4
SHA256: 54d12f8ef268791674a69f2cf7fd9d38cee4c8707c653e4e52c35b4cea04c726
SHA512: 449d31a98d6f7e963f0c343d8eb43a2facdfebf9d30becb7799339f111a50bc1
3497ce23c8b54f1b911a79dfc1de49946d065bbb90eb43c0ce90839da93d58a0
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401000
timedatestamp.....: 0x3fcaaccd (Mon Dec 01 02:51:57 2003)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x32c 0x400 4.21 64a63f17d2c27357490087307db8ae59
.rdata 0x2000 0x20e 0x400 2.78 fc545cfc1fa369b9240167a78a35a27f
.data 0x3000 0x9fc 0x200 4.56 7edf323c9b86f7d49df824a4fd357e33
.rsrc 0x4000 0x19b00 0x19c00 7.81 27552d9dd71f8a124698fa7c70296de4

( 2 imports )
> kernel32.dll: CloseHandle, CreateFileA, DeleteFileA, ExitProcess, FindResourceA, FreeLibrary, GetFileAttributesA, GetModuleHandleA, GetProcAddress, LoadLibraryA, LoadResource, SizeofResource, WriteFile
> user32.dll: DialogBoxParamA, EndDialog, LoadIconA, MessageBoxA, SendMessageA

( 0 exports )
packers: UPX
packers: embedded, UPX

und VirSCAN.org

HTML-Code:

AhnLab-V3	2008.4.30.0	2008.04.29	-
AntiVir	7.8.0.10	2008.04.29	TR/Dropper.Gen
Authentium	4.93.8	2008.04.27	-
Avast	4.8.1169.0	2008.04.29	-
AVG	7.5.0.516	2008.04.29	-
BitDefender	7.2	2008.04.29	-
CAT-QuickHeal	9.50	2008.04.29	-
ClamAV	0.92.1	2008.04.29	-
DrWeb	4.44.0.09170	2008.04.29	-
eSafe	7.0.15.0	2008.04.28	-
eTrust-Vet	31.3.5744	2008.04.29	-
Ewido	4.0	2008.04.29	-
F-Prot	4.4.2.54	2008.04.28	-
F-Secure	6.70.13260.0	2008.04.29	Suspicious:W32/Malware!Gemini
FileAdvisor	1	2008.04.29	-
Fortinet	3.14.0.0	2008.04.29	-
Ikarus	T3.1.1.26	2008.04.29	-
Kaspersky	7.0.0.125	2008.04.29	-
McAfee	5284	2008.04.29	-
Microsoft	1.3408	2008.04.22	-
NOD32v2	3063	2008.04.29	-
Norman	5.80.02	2008.04.29	-
Panda	9.0.0.4	2008.04.29	-
Prevx1	V2	2008.04.29	-
Rising	20.42.12.00	2008.04.29	-
Sophos	4.28.0	2008.04.29	-
Sunbelt	3.0.1056.0	2008.04.17	-
Symantec	10	2008.04.29	-
TheHacker	6.2.92.297	2008.04.29	-
VBA32	3.12.6.5	2008.04.29	-
VirusBuster	4.3.26:9	2008.04.29	-
Webwasher-Gateway	6.6.2	2008.04.29	Trojan.Dropper.Gen
weitere Informationen
File size: 109056 bytes
MD5...: ef7d7a3a2297e9acc5913ea54184209b
SHA1..: 63d0470633851ea4d873ad451de824c4a4ae41f4
SHA256: 54d12f8ef268791674a69f2cf7fd9d38cee4c8707c653e4e52c35b4cea04c726
SHA512: 449d31a98d6f7e963f0c343d8eb43a2facdfebf9d30becb7799339f111a50bc1
3497ce23c8b54f1b911a79dfc1de49946d065bbb90eb43c0ce90839da93d58a0
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401000
timedatestamp.....: 0x3fcaaccd (Mon Dec 01 02:51:57 2003)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x32c 0x400 4.21 64a63f17d2c27357490087307db8ae59
.rdata 0x2000 0x20e 0x400 2.78 fc545cfc1fa369b9240167a78a35a27f
.data 0x3000 0x9fc 0x200 4.56 7edf323c9b86f7d49df824a4fd357e33
.rsrc 0x4000 0x19b00 0x19c00 7.81 27552d9dd71f8a124698fa7c70296de4

( 2 imports )
> kernel32.dll: CloseHandle, CreateFileA, DeleteFileA, ExitProcess, FindResourceA, FreeLibrary, GetFileAttributesA, GetModuleHandleA, GetProcAddress, LoadLibraryA, LoadResource, SizeofResource, WriteFile
> user32.dll: DialogBoxParamA, EndDialog, LoadIconA, MessageBoxA, SendMessageA

( 0 exports )
packers: UPX
packers: embedded, UPX

das mit den Daten hab ich entdeckt, dass das bei Virustotal beisteht....

und nun?

Hallo

stammt die Datei vom Originalspiel oder aus einer weniger vertrauensvollen Quelle?
Seit wann hast du die Datei in gebrauch und wurde sie ausgeführt?

MFG

Zitat:

Zitat von nochdigger

Hallo

stammt die Datei vom Originalspiel oder aus einer weniger vertrauensvollen Quelle?
Seit wann hast du die Datei in gebrauch und wurde sie ausgeführt?

MFG

wenn ich das wüsste...ich wüsste net, dass irgendwas nachinstalliert wurde, was net von der offiziellen ea-seite war.........in Gebrauch ist sie überhaupt net und ausgeführt wurde sie zumindest von mir noch nie......

ich glaub ich mach einfach mal nhl2004 komplett runter und installier nochmal..meinst du das hilft???

Moin

Zitat:

wenn ich das wüsste...ich wüsste net, dass irgendwas nachinstalliert wurde, was net von der offiziellen ea-seite war.........in Gebrauch ist sie überhaupt net und ausgeführt wurde sie zumindest von mir noch nie......

Hm, hört sich aber erstmal gut an.

Zitat:

ich glaub ich mach einfach mal nhl2004 komplett runter und installier nochmal..meinst du das hilft???

damit warte bitte nochmal, lade die Datei bitte mal hier hoch
Submit your sample
EDIT: Bitte Verdacht auf Fehlalarm angeben!
und warte die Antwort von Avira ab, die sind relativ fix bei der Geschichte.
Wenn das Ergebnis da ist können wir weiter sehen.

MFG

Hallo nochmal

hab ich ganz vergessen

Zitat:

das mach ich sofort..klär mich nur bitte auf, was MD5 und SHA1 Angaben sind..

http://de.wikipedia.org/wiki/Message-Digest_Algorithm_5
http://de.wikipedia.org/wiki/SHA-1

MFG

Zitat:

Zitat von nochdigger

damit warte bitte nochmal, lade die Datei bitte mal hier hoch
Submit your sample
EDIT: Bitte Verdacht auf Fehlalarm angeben!
und warte die Antwort von Avira ab, die sind relativ fix bei der Geschichte.
Wenn das Ergebnis da ist können wir weiter sehen.
MFG

das kann ich heut abend erst machen, wenn ich wieder daheim bin, dann aber auf jeden fall....

Zitat:

Zitat von nochdigger

damit warte bitte nochmal, lade die Datei bitte mal hier hoch
Submit your sample
EDIT: Bitte Verdacht auf Fehlalarm angeben!
und warte die Antwort von Avira ab, die sind relativ fix bei der Geschichte.
Wenn das Ergebnis da ist können wir weiter sehen.
MFG

so....jetzt bin ich so schlau wie vorher:

HTML-Code:

Datei ID 	 Dateiname 	 Größe (Byte) 	Ergebnis
25006001 	 dev-rtp.exe 	 106.5 KB 	 UNDER ANALYSIS


Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
 Dateiname 	Ergebnis
 dev-rtp.exe 	 UNDER ANALYSIS

Die Datei 'dev-rtp.exe' wurde als 'UNDER ANALYSIS' eingestuft.

Hallo

Zitat:

so....jetzt bin ich so schlau wie vorher:

die Antwort steht noch aus, z.Zt. wird die Datei untersucht

Zitat:

Dateiname Ergebnis
dev-rtp.exe UNDER ANALYSIS

OK?

Ich denke du kannst morgen oder Freitag mit dem Ergebnis rechnen

MFG

Zitat:

Zitat von nochdigger

Ich denke du kannst morgen oder Freitag mit dem Ergebnis rechnen
MFG

okay, ich war zu doof......

heute ist freitag und heute kam die Antwort:

HTML-Code:

Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:
Datei ID 	 Dateiname 	Größe (Byte) 	Ergebnis
25006001 	 dev-rtp.exe 	 106.5 KB 	 FALSE POSITIVE


Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
 Dateiname 	Ergebnis 	 dev-rtp.exe 	 FALSE POSITIVE

Die Datei 'dev-rtp.exe' wurde als 'FALSE POSITIVE' eingestuft. 
Dies bedeutet, dass diese Datei nicht gefährlich und eine Fehlmeldung unsererseits ist. 
Das Erkennungsmuster wird nicht entfernt werden da es sich um eine nicht reguläre Software handelt welche für die Umgehung von Schutzmechanismen in Computerprogrammen verwendet wird. 
Sollte ein virulenter Inhalt bzw. böswillige Eigenschaften festgestellt werden, wird diese Datei in die Erkennung in einer der nächsten VDF Update aufgenommen. 
Sollte bereits eine Erkennung seitens AntiVir vorliegen, wird diese nicht geändert oder angepasst.

wenn ich das richtig lese, ist somit prinzipiell alles i.O., die Datei wird aber weiter gemeldet werden, wenn ich einen Systemcheck mache.....

so weit, so gut, dh mein rechner ist doch sauber......oder??

Moin

Zitat:

Die Datei 'dev-rtp.exe' wurde als 'FALSE POSITIVE' eingestuft.

Das ist das Ergebnis welches ich sehen wollte

Zitat:

wenn ich das richtig lese, ist somit prinzipiell alles i.O.

Jein, ich rate dir verschiebe die Datei (evtl. im abgesicherten Modus) an einen anderen Ort und schau ob weiterhin alle anderen Anwendungen auf dem System einwandfrei funktionieren.

Lass die Datei dann in ca. 14 Tagen nochmal bei Virustotal durchlaufen, ich hoffe es ändert sich nix an der Erkennung, sonst hast du ein Problem.

Einen Onlinescan hier z.B. kann sicherlich auch nicht schaden.
Free Virus Scan - Kaspersky Lab

MFG

was mir hier auffällt, (sorry für einmischung) umgehung regulärer schutzsoftware...) also doch etwas zum knacken?
dieser false positiv wird nciht entfernt werden von seiten aviras. wenn du wirklich sicher bist, werde ich mal einem mitarbeiter von avira schreiben der soll sich das dann noch mal genauer ansehen.

Moin

Zitat:

was mir hier auffällt, (sorry für einmischung) umgehung regulärer schutzsoftware...) also doch etwas zum knacken?

Kein Problem, ich denke fast ja und darum wollte ich die Datei aus dem Verkehr haben...

Zitat:

ich rate dir verschiebe die Datei (evtl. im abgesicherten Modus) an einen anderen Ort und schau ob weiterhin alle anderen Anwendungen auf dem System einwandfrei funktionieren.

Zitat:

wenn du wirklich sicher bist, werde ich mal einem mitarbeiter von avira schreiben der soll sich das dann noch mal genauer ansehen.

Mach das mal wenns für dich möglich ist

MFG