Trojaner oder nicht?

Traveller_609f65 · 1. September 2008 um 10:12

Liebe Experten,

ich hatte kürzlich trotz diverser Vorsichtsmaßnahmen den Trojaner TR.Dropper\Gen auf meinem Rechner bzw. habe ihn nach Entdecken durch Antivir ins Quarantäne-Verzeichnis verschoben.

Anschließend hat ein PC-Experte meinen Rechner zu einem früheren Zeitpunkt wiederhergestellt und einige Überprüfungen vorgenommen, so dass dieser -nach seiner Meinung- sauber ist, ohne dass eine Neuinstallation erforderlich wurde.

Nun meldete mir am Wochenende Spybot plötzlich eine Datei von Antivir,
nämlich „avwsc.exe“ (zu finden unter C:\Programme\Antivir) als Trojaner „bifrose.gen“.

Habe die Datei anschließend nochmal separat mit Spybot und mit Antivir gescannt -> kein Fund.

Was soll ich denn davon halten?

Ach ja: HijackThis hat auch nichts Merkwürdiges festgestellt.

Habt ihr einen Tipp für mich? Vielen Dank?

Gruß
Traveller

herrmann_59614f · 1. September 2008 um 12:08

Anschließend hat ein PC-Experte meinen Rechner zu einem
früheren Zeitpunkt wiederhergestellt und einige Überprüfungen
vorgenommen, so dass dieser -nach seiner Meinung- sauber ist,
ohne dass eine Neuinstallation erforderlich wurde.

Das war kein Experte, das war ein wahrer Zauberkünstler!

Nun meldete mir am Wochenende Spybot plötzlich eine Datei von
Antivir,
nämlich „avwsc.exe“ (zu finden unter C:\Programme\Antivir) als
Trojaner „bifrose.gen“.

Wirf diese Datei z. B. bei http://www.virustotal.com/ ein. Wenn dessen Ausgabe Zweifel offen lässt, könntest du die Ergebnisse mal per copy&paste hier einstellen.

HTH

vordprefect · 1. September 2008 um 12:16

Hi,

Nun meldete mir am Wochenende Spybot plötzlich eine Datei von
Antivir nämlich „avwsc.exe“ (zu finden unter C:\Programme\Antivir)
als Trojaner „bifrose.gen“.

Habe die Datei anschließend nochmal separat mit Spybot und mit
Antivir gescannt -> kein Fund.

Wenn die Datei Bestandteil von Antivir ist, wird es seine eigenen Dateien kennen, daher ist es wahrscheinlich nicht verwunderlich,
wenn Antivir hier nichts meldet.

Du kannst die Datei avwsc.exe auch online scannen lassen:
http://www.virustotal.com/de/

Virenschutzprogramme haben ähnliche „Signaturen“ wie Viren,
so daß da schon mal das eine oder andere Programm
das Antivir-Programm fälschlicherweise als Virus entdeckt.

Ach ja: HijackThis hat auch nichts Merkwürdiges festgestellt.

Spybot und HijackThis sind aber eigentlich keine Virenscanner!

gruss,
vordprefect

Traveller_609f65 · 1. September 2008 um 12:30

Wirf diese Datei z. B. bei http://www.virustotal.com/ ein.
Wenn dessen Ausgabe Zweifel offen lässt, könntest du die
Ergebnisse mal per copy&paste hier einstellen.

HTH

Hier ist das Ergebnis. Was meint ihr?
(Was mich ja grad`n bisschen wundert…die ganzen ersten Zeilen hier tauchen auf der Seite VirusTotal gar nicht auf… erscheinen hier nur beim Reinkopieren…)

"Datei avwsc.exe empfangen 2008.09.01 12:24:29 (CET)
Status: Laden … Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/36 (0%)
Laden der Serverinformationen…
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf „Anfragen“, damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.29.0 2008.09.01 -
AntiVir 7.8.1.23 2008.09.01 -
Authentium 5.1.0.4 2008.09.01 -
Avast 4.8.1195.0 2008.08.31 -
AVG 8.0.0.161 2008.09.01 -
BitDefender 7.2 2008.09.01 -
CAT-QuickHeal 9.50 2008.08.29 -
ClamAV 0.93.1 2008.09.01 -
DrWeb 4.44.0.09170 2008.09.01 -
eSafe 7.0.17.0 2008.08.31 -
eTrust-Vet 31.6.6062 2008.09.01 -
Ewido 4.0 2008.08.31 -
F-Prot 4.4.4.56 2008.09.01 -
F-Secure 7.60.13501.0 2008.09.01 -
Fortinet 3.14.0.0 2008.09.01 -
GData 19 2008.09.01 -
Ikarus T3.1.1.34.0 2008.09.01 -
K7AntiVirus 7.10.433 2008.08.30 -
Kaspersky 7.0.0.125 2008.09.01 -
McAfee 5373 2008.08.29 -
Microsoft 1.3807 2008.08.25 -
NOD32v2 3403 2008.09.01 -
Norman 5.80.02 2008.08.29 -
Panda 9.0.0.4 2008.08.31 -
PCTools 4.4.2.0 2008.08.31 -
Prevx1 V2 2008.09.01 -
Rising 20.60.01.00 2008.09.01 -
Sophos 4.33.0 2008.09.01 -
Sunbelt 3.1.1592.1 2008.08.30 -
Symantec 10 2008.09.01 -
TheHacker 6.3.0.6.068 2008.08.30 -
TrendMicro 8.700.0.1004 2008.09.01 -
VBA32 3.12.8.4 2008.08.31 -
ViRobot 2008.9.1.1359 2008.09.01 -
VirusBuster 4.5.11.0 2008.08.31 -
Webwasher-Gateway 6.6.2 2008.09.01 -
weitere Informationen
File size: 208592 bytes
MD5…: dfca272f802e918c1fa7cf5c28798694
SHA1…: d2371ddaf7c80092f2ebdfc28d971d75707df476
SHA256: da1bcfa2297126c4f27c85d0c2dab470d1c62086f2cc94dca64106367bd6ffd4
SHA512: 8aab10c92a6c9357d2eb2f2a3185a0a477c3383335ec31fa356c29fce76e5bdb
92a136094b103d53ecdd1d978e6cfcb78964e31dc34d16172a80db46f8f3b10b
PEiD…: -
TrID…: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x410a7a
timedatestamp…: 0x4850e1d2 (Thu Jun 12 08:44:02 2008)
machinetype…: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1c38f 0x1d000 6.63 325087c298379e52f2b2aa6bfc0db624
.rdata 0x1e000 0x44a8 0x5000 4.81 6ef9de4ec37ee59a0081adbccf803b0d
.data 0x23000 0x5320 0x3000 3.95 5ad46568bf2792f66cecd131a8f70e54
.rsrc 0x29000 0xad44 0xb000 5.62 78b86772ac59c040f7c7b571f52ccab4

( 7 imports )
> VERSION.dll: GetFileVersionInfoW, GetFileVersionInfoSizeW, VerQueryValueW
> KERNEL32.dll: GetCurrentProcess, CreateEventW, GetFileAttributesW, CreateMutexW, InterlockedIncrement, SetEvent, OutputDebugStringW, CreateThread, WaitForMultipleObjects, MultiByteToWideChar, WideCharToMultiByte, HeapFree, GetProcessHeap, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, GetLocaleInfoA, Sleep, OpenEventW, GetPrivateProfileStringW, WriteFile, lstrcpynW, LoadLibraryExW, CreateFileW, GetLastError, GetFileSize, ReadFile, CloseHandle, RaiseException, GetModuleHandleW, GetModuleFileNameW, GetVersionExW, GetWindowsDirectoryW, LoadLibraryW, GetProcAddress, FreeLibrary, CreateFileA, InterlockedDecrement, GetStringTypeW, GetStringTypeA, LoadLibraryA, InitializeCriticalSection, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, GetCommandLineW, GetCommandLineA, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, SetEndOfFile, SetStdHandle, GetStartupInfoA, SetEnvironmentVariableW, GetCurrentDirectoryW, SetCurrentDirectoryW, GetFullPathNameW, HeapAlloc, GetSystemTimeAsFileTime, RtlUnwind, HeapReAlloc, SetFilePointer, GetFileType, GetVersionExA, GetStartupInfoW, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, GetCurrentDirectoryA, GetDriveTypeA, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, GetModuleHandleA, ExitProcess, GetStdHandle, GetModuleFileNameA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, GetCurrentThreadId, GetCPInfo, GetACP, GetOEMCP, IsValidCodePage, LCMapStringA, LCMapStringW, GetConsoleCP, GetConsoleMode, FlushFileBuffers, HeapSize, SetHandleCount
> USER32.dll: LoadStringW
> ADVAPI32.dll: OpenServiceW, QueryServiceStatus, CloseServiceHandle, RegDeleteValueW, RegDeleteKeyW, RegQueryValueExW, RegCreateKeyExW, RegSetValueExW, RegCloseKey, RegOpenKeyExW, RegEnumValueW, OpenSCManagerW
> ole32.dll: StringFromGUID2, CoUninitialize, CoCreateInstance
> OLEAUT32.dll: -, -, -
> RPCRT4.dll: UuidFromStringW

( 0 exports )"

herrmann_59614f · 1. September 2008 um 13:12

Hier ist das Ergebnis. Was meint ihr?

Na, da ist doch nichts mehr zweifelhaft! Da hat der Spybot eindeutig einen Fehlalarm geliefert. Die Datei ist ein harmloser Bestandteil von Antivir.

Gruß

Traveller_609f65 · 1. September 2008 um 13:39

Vielen Dank!
Gruß
Traveller

P.S. Was meintest in deinem vorherigen Beitrag damit, dass der PC-Experte wohl ein Zauberkünstler ist. Hältst du es für ausgeschlossen, dass ein PC ohne Neu-Installation wieder sauber läuft?

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

herrmann_59614f · 1. September 2008 um 14:46

P.S. Was meintest in deinem vorherigen Beitrag damit, dass der
PC-Experte wohl ein Zauberkünstler ist. Hältst du es für
ausgeschlossen, dass ein PC ohne Neu-Installation wieder
sauber läuft?

Ich halte jeden ‚Experten‘ für einen Scharlatan, der dir nicht dringend empfiehlt, einen einmal infizierten PC neu aufzusetzen. Auch nachdem er ihn nach bestem Wissen und Können gesäubert hat.

Allerdings ist eine Abschätzung, welcher Schade dir im schlimmsten Fall durch eine nicht entdeckte Folge der Infektion droht, und welcher Aufwand dem für eine Neuinstallation entgegensteht, legitim. Diese Abschätzung zu treffen, ist jedoch deine Sache, der ‚Experte‘ kann (sollte) dich hierbei lediglich beraten.

Gruß