Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Backdoor BDS/PcClient.AC.2 (https://www.trojaner-board.de/18715-backdoor-bds-pcclient-ac-2-a.html)

Super DAU 07.06.2005 17:48
Backdoor BDS/PcClient.AC.2
 
Hallo,

kennt jemand von euch diesen Trojaner: BDS/PcClient.AC.2 ?

Die neuste Version von Antivir hat ihn heute bei mir gefunden, und zwar in der Datei "wextract.exe" (im system32 und dllcache Ordner). :eek:

Das seltsame ist, das es sich bei der Datei "wextract.exe" um eine Datei von WinXP SP2 handelt. Außerdem habe ich Windows XP erst vor ein paar Tagen komplett neu installiert, sowie alle Updates eingespielt - daher ist es mir echt ein Rätsel wie dieses Teil auf meinen Rechner gelangen konnte! :confused:

Könnte es sich hier um einen Fehlalarm von Antivir handeln? (Heuristik ist in AntiVir auf "Hoch" eingestellt) :balla:

Cidre 07.06.2005 17:57
Hallo,

die Heuristik auf hoch zu stellen, macht imho keinen Sinn und ruft nur unnötige Fehlalarme hervor. Wenn du dir trotzdem unsicher bist, dann checke diese Datei bei http://virusscan.jotti.org/degegen und führe ein Scan mit eScan AntiVirus im abgesicherten Modus durch.
Ich vermute, daß die Datei sauber ist.

character 07.06.2005 18:10
Gleiche Meldung bei mir eben. Beim Onlinescan erkennt nur AntiVir etwas in der Datei.

edit: Win32-Dateiheuristik war übrigens aus bei mir.

Super DAU 07.06.2005 18:11
Erstmal danke für den Tip.

http://virusscan.jotti.org/de sagt folgendes:

Datei: wextract.exe
Status: VIELLEICHT INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)

Entdeckte Packprogramme:
-

AntiVir: BDS/PcClient.AC.2 gefunden

Avast: Keine Viren gefunden

AVG Antivirus: Keine Viren gefunden

BitDefender: Keine Viren gefunden

ClamAV: Keine Viren gefunden

Dr.Web: Keine Viren gefunden

F-Prot Antivirus: Keine Viren gefunden

Fortinet: Keine Viren gefunden

Kaspersky Anti-Virus: Keine Viren gefunden

mks_vir: Keine Viren gefunden

NOD32: Keine Viren gefunden

Norman Virus Control: Keine Viren gefunden

VBA32: Keine Viren gefunden


Ich gehe also mal von einem Fehlalarm aus... :o

Sulimo 07.06.2005 18:13
Ich reihe mich mal ein, bei mir hat AntiVir den gleichen Virus in zwei Setup-Dateien von TweakUp und RegCool gefunden. Sonst allerdings keine Meldungen, also auch nichts mit der wextract.exe.

Der Online-Scan meldet ebenfalls nur mit AntiVir den Virus...

cronos 07.06.2005 18:16
@Super DAU

Du könntest die Datei zusätzlich noch hier uploaden:

www.malwareupload.com

Das dauert zwar etwas länger, du kannst dir aber noch etwas sicherer sein, ob es nun ein Fehlalarm ist oder nicht.
Kannst uns dann ja das Ergebniss mitteilen.

irie 07.06.2005 18:20
Na, dann hoff ich mal, dass du Recht hast. Ich hab nämlich ständig die gleiche Meldung auf dem Bildschirm.
Falls ihr doch noch was Neues darüber in Erfahrung bringt, wärs nett, wenn ihr es hier posten könntet.
Danke ;-)

Super DAU 07.06.2005 18:29
@ cronos

Habe die "wextract.exe" mal zur Überprüfung bei www.malwareupload.com hochgeladen. Kommt aber bisher kein Ergebnis. Kommt die per Mail? (Kenne diesen Dienst nicht)

Diskman 07.06.2005 18:31
Dasselbe bei mir - Virenmeldung "BDS/PcClient.AC.2" in wextract.exe, sowohl unter c:\Windows\ServicePackFiles\i386, als auch unter c:\Windows\System32.
Allerdings habe ich in meiner Hektik diese Dateien löschen lassen, so dass ich jetzt
1. nicht mehr nachprüfen kann, ob diese Datei wirklilch infiziert war, und
2. mir jetzt diese Datei in meinem System fehlt (hat jemand ne Idee, wo ich die wieder herbekommen kann ??).

...war wohl nicht das allerintelligenteste, was ich machen konnte :dummguck: !!

Cidre 07.06.2005 18:31
Demzufolge handelt es sich also um einen Fehlalarm. Bevor Ihr also weiter die Datei irgendwo überprüft oder hochladet, solltet Ihr euch direkt an den Hersteller wenden und diese zur Überprüfung einschicken, damit dieser darauf reagieren kann.
Zitat:
Fehlmeldungen
Fehlmeldungen (engl. False Positive) sind Meldungen über Viren, die eigentlich gar nicht vorhanden sind. Man kann sich das so vorstellen, als ob irgendwo Ihr Passbild gefunden wird; das heißt dann noch lange nicht, dass Sie persönlich dort anwesend sind. Leider können solche Fehlmeldungen nie völlig ausgeschlossen werden. Wir bereinigen sie aber so bald wie möglich.

Bei bestimmten Fehlmeldungen sind allerdings wirklich Viren im Spiel, deren Fund gemeldet werden muss. Es sind vorwiegend unverschlüsselte Suchstrings in der Antivirensoftware anderer Hersteller, die von AntiVir gemeldet werden - denn es könnte sich durchaus ein echter Virus darin versteckt halten.
http://www.antivir-pe.de/de/support/index.html

Super DAU 07.06.2005 18:37
Zitat:
Zitat von Diskman
Dasselbe bei mir - Virenmeldung "BDS/PcClient.AC.2" in wextract.exe, sowohl unter c:\Windows\ServicePackFiles\i386, als auch unter c:\Windows\System32.
Allerdings habe ich in meiner Hektik diese Dateien löschen lassen, so dass ich jetzt
1. nicht mehr nachprüfen kann, ob diese Datei wirklilch infiziert war, und
2. mir jetzt diese Datei in meinem System fehlt (hat jemand ne Idee, wo ich die wieder herbekommen kann ??).

...war wohl nicht das allerintelligenteste, was ich machen konnte :dummguck: !!
Die "wextract.exe" müsste sich doch auf der WinXP CD befinden, in irgenteiner CAB-Datei...? Lässt sich vieleicht mit der Windows-Suche finden?

Diskman 07.06.2005 19:03
Hmm, scheint so, als hätte sich das Problem mit der fehlenden Datei von selbst gelöst: die Datei "webtract.exe" läßt sich immer nur für 5 Sekunden löschen, danach erscheint sie auf magisch-mystische Weise wieder - und Antivir postet die nächste Fehlermeldng im selben Moment.

Naja, so konnte ich wenigstens auch "meine" webtract.exe bei http://virusscan.jotti.org/de testen lassen-mit demselben Ergebnis wie SuperDAU !!

character 07.06.2005 23:07
AntiVir scheint reagiert zu haben. Es gibt erneut ein Update der Virendefinitionen und die Datei wird nicht mehr gemeldet.

malwareupload.com hat auch geantwortet:

Zitat:
Hallo,
Wir haben Ihre Datei WEXTRACT.EXE.VIR überprüft und kamen zu folgendem Ergebnis:
Keine Malware!

Sollte AntiVir diese Datei als schädlich eingestuft haben, so ist dies ein Fehlalarm.

cronos 07.06.2005 23:34
Dann ist ja alles geklärt :daumenhoc

Diskman 08.06.2005 07:24
Na wunderbar !!!

Danke an alle Mitwirkenden und natürlich auch an die Betreiber dieses Forums - hat sich wiedermal bestens bewährt :aplaus: !!!


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:45 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130