Erlaubter Trojaner

Friedrich_Nolte · 21. September 2010 um 11:02

Hallo Freunde,
von SpyBot wurde auf meinem WINXP-System ein sog. „Trojaner“

Win32.Agent.tdd

mit dem Programm livesrv.exe in der Registry gemeldet. Mein Kenntnisstand ist aber, daß livesrv.exe ein Update-Programm des Virenprüfers Bitdefender Internet Security 2010 ist, d.h. harmlos + benötigt. SpyBot konnte den „Trojaner“ nicht löschen, weil er in Gebrauch ist - na klar. Andererseits gibt es viele echte Trojaner von Win32.Agent… usw. Ist es gefährlich, Win32.Agent.tdd für SpyBot auszunehmen? livesrv kann ich nicht ausnehmen!?
Gruß!
Friedrich

Hermann_Schaefer · 21. September 2010 um 11:09

mit dem Programm livesrv.exe

Abgesichert hochfahren, livesrv.exe kopieren und später zu http://www.virustotal.com/ hochladen.
Manche Viren/Trojaner benennen sich nach „richtigen“ Programmen, liegen aber in anderen Verzeichnissen, selten sind auch die Originalprogramme mal infiziert resp. verändert.

Thomas_Fischbach_ac0842 · 21. September 2010 um 13:54

Hallo,

verfahre so, wie um Hermann vorgeschlagen.

Spybot „meckert“ über Programme, die potentiell gefährlich sein können, am Benutzer „vorbei telefonieren“ usw., sprich nach typischen Erkennungszeichen (Verhalten) von Schädlingen.

„Das Programm ist nicht sichtbar. livesrv.exe ist keine Windows System Datei. livesrv.exe kann sich versteckten, Programme überwachen. Deshalb bewerten wir diese Datei zu 47% als gefährlich“.

Quelle: http://www.file.net/prozess/livesrv.exe.html

Auf Grund dieser Eigenschaften ist die Warnung von spybot durchaus korrekt. Trotzdem muß das Programm nicht böse sein, es hat nur „böse Seiten“.

Wie ich auch.

mfg

tf

Friedrich_Nolte · 21. September 2010 um 14:25

Das ist doch widersinnig! Ich muß meinem Virenscanner, den ich schon jahrelang benutze, vertrauen und kann nicht seine Aktivitäten stoppen. Das Programm steht unter
C:\Programme\Gemeinsame Dateien\bitdefender\bitdefender update service\
und läuft ständig lt. Systeminformationen > SW-Umgebung > Aktive Tasks.
Wie der Prozeß von fremder Seite eingestuft wird, ist ohne Belang. Ich könnte höchstens bei BitDefender und SpyBot nachfragen.
Gruß!
Friedrich

PS. Im Prinzip ist der Tipp aber gut!

Thomas_Fischbach_ac0842 · 21. September 2010 um 15:02

Hallo,

dies ist in keiner Art und Weise unsinnig. Du kannst doch jederzeit - wenn Du denn diesem Prozeß vertraust - diesen bei unter spybot als Ausnahme festlegen.

Für ein Antiviren-Programm kann es sinnvoll sein, sich zu verstecken, um angreifern auszuweichen. Wer aber sagt uns, daß es sich bei einem versteckten Prozeß um einen „Guten“ handelt.

Schau mal hier (Punkt 6):

http://www.safer-networking.org/de/tutorial/index.html

Jedes Antiviren- und Spyware-Programm gibt HINWEISE. Was Du daraus machst, ist Deine Sache.

Wie sagte noch Bruce Schneier: „Sicherheit ist ein Prozeß, kein Zustand …“

mfg

tf

Friedrich_Nolte · 22. September 2010 um 16:07

O.K. hab’s eingeschickt. Programm ist bei virustotal.com schon bekannt, letzter Report ergab 0/41 Fehler. In 1 langen Liste sind m.E. alle renommierten Antiviren-Hersteller wie z.B. BitDefender, Antivir, Symantec, Kaspersky usw. aufgeführt, die es verwenden.
Also Entwarnung. Ich selbst hatte es bereits 2009 m. hijackThis geprüft: gutes PGM.
Gruß!
Friedrich