Hi,

habe gerade etwas in diesem Thread von heute gestöbert.

http://http://www.trojaner-board.de/59011-hilfe-untedectet-backdoor-trojaner-2.html

Im Verlauf dieses Threads wird zum MasterBoot-check auf "MBR.EXE" (www2.gmer.net) verlinkt. Habe diesen Link gerade angeklickt und bekomme von meinem Virenwächter folgenden Warnhinweis :

"G DATA InternetSecurity 2008 hat den Zugriff auf diese Webseite verweigert.
Die Seite enthält infizierten Code: Rootkit.Win32.Agent.cyu."

Kann mir jemand sagen, was das soll?

Gruß

Wolf

Hallo,

wenn die MBR von der GMER-Seite stammt sollte sie vertrauenswürdig sein.

Warum denn Dein Virenscanner anspringt könnte ich mir vorstellen. Und zwar ist die kleine mbr.exe ja in der Lage Rootkits zu erkennen, d.h. in ihr müsste ne kleine Datenbank mit spezifischen Infos sein, anhand der sie eben MBR-Stealth-Rootkits erkennt. Vllt maulen deswegen einige Virenscanner die mbr.exe an. Du kannst sie aber ohne Probleme ausführen.

Hi,

eine Überprüfung bei Virustotal zeigt, dass der Fehler offenbar recht weit verbreitet ist:

Zitat:

Datei mbr.exe empfangen 2008.09.03 19:26:27 (CET)
Status: Beendet
Ergebnis: 7/36 (19.44%)
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
CAT-QuickHeal 9.50 2008.09.02 (Suspicious) - DNAScan
eSafe 7.0.17.0 2008.09.03 Suspicious File
F-Secure 8.0.14332.0 2008.09.03 Rootkit.Win32.Agent.cyu
GData 19 2008.09.03 Rootkit.Win32.Agent.cyu
Kaspersky 7.0.0.125 2008.09.03 Rootkit.Win32.Agent.cyu
Sunbelt 3.1.1582.1 2008.09.02 VIPRE.Suspicious
TrendMicro 8.700.0.1004 2008.09.03 PAK_Generic.001
weitere Informationen
File size: 66048 bytes
MD5...: 8cc1a9a32ec1b1d72081d8d25c255d08

Ist bei derartigen Fixtools leider nicht selten.
Am besten schickst du die Datei als Verdacht auf Fehlalarm ein. Dann sollte die Erkennung in den nächsten Tagen wieder verschwinden.

lg myrtille

Diese Firmen reagieren gerne etwas beleidigt, wenn ein einzelner Amateur Sachen programmiert, die sie mit vielen bezahlten und studierten Profis nicht auf die Reihe kriegen.

Zitat:

Zitat von myrtille

Am besten schickst du die Datei als Verdacht auf Fehlalarm ein. Dann sollte die Erkennung in den nächsten Tagen wieder verschwinden.

lg myrtille

Ich glaub das Einschicken bringt nicht viel. Ich hab das vor ner Zeit recht häufig gemacht, immer an Kaspersky. Da kam immer nur lapidar die Antwort, dass solche Tools im Zusammenspiel mit "Viren" verwendet werden...ich such mal eben den genauen Wortlaut heraus. Entweder kommt sowas:

Zitat:

Zitat von Kaspersky

This file is already detected by our extended bases as a potentially risk program.
If you know purpose of this program then there's no need to bother, just add it to exclusion list,
else there is unknown malicious software on your computer possibly.

Oder sowas:

Zitat:

Zitat von Kaspersky

This is not a false positive.
This file is detected as XXX because it may be used by viruses.
Such files is detected by extended antivirus base set only.

Zitat:

Zitat von KarlKarl

Diese Firmen reagieren gerne etwas beleidigt, wenn ein einzelner Amateur Sachen programmiert, die sie mit vielen bezahlten und studierten Profis nicht auf die Reihe kriegen.

Naja . Kaspersky würde sich aber schnell ins Knie schießen wenn die sowas wie Combofix herausbringen würden und dann den Hinweis, dass ca. 1% der Rechner so eine Prozedur nicht überlent. :d

Hallo,

entschuldigung das ich mich hier einfach so einklinke,
aber bei mir wurde das auch entdeckt und ich wollte nicht schon wieder ein neues Thema öffnen.
Das gleiche meldete Gdata gerade eben auch bei mir als ich den Ordner öffnete in der die mbr.exe gespeichert ist. Hatte erst die Vermutung das es was damit zu tun das vor ein paar tagen beim einstecken eines Usb Sticks die Dateiausführungsverhinderung von Windows angesprungen ist.
Also kann man davon ausgehen das es ein Fehlalarm ist, oder?

Kannst Du.

Ihr könnt mir doch nicht die letzte Hoffnung nehmen. Lasst mich doch an das gute im Menschen, bzw in Antivirenfirmen glauben.

Also mein hysterischer Virenscanner - danke Euch für die schnellen Antworten.

Hallo Leute,
ich hab das mal zu newvirus@kaspersky.com gesendet und hab eben die Antwort bekommen, dass das ein Fehlalarm war und das es gefixt wird...

Gruß
Handball10

Zitat:

Zitat von handball10

Hallo Leute,
ich hab das mal zu newvirus@kaspersky.com gesendet und hab eben die Antwort bekommen, dass das ein Fehlalarm war und das es gefixt wird...

Gruß
Handball10

Jetzt sollten aber noch die anderen sechs Hersteller nachziehen.

Hallo zusammen,

hatte das gleiche Phänomen mit mbr.exe und hatte diesbezüglich im Kaspersky Forum gepostet.

Hab grad vorhin die Datei nochmal runtergeladen und jetzt wird kein Virus/rootkit mehr gefunden.

Wurde wohl schon geupdated die Definitionen.

Kann mir hier jemand bestätigen das bei euch mit der Datei alles ok ist jetzt?

Hat noch jemand die Datei oder habt ihr sie auch gelöscht (wie ich)?

Zitat:

Kann mir hier jemand bestätigen das bei euch mit der Datei alles ok ist jetzt?

Mit der Datei war auch schon vorher alles okay. Da gibs nix zu sagen dass sie jetzt erst okay wäre, denn die mbr.exe an sich hat sich ja auch nicht verändert. Wohl aber die Signaturen zumindest bei kaspersky.