Trojaner oder nicht? Bei N°23 Recorder

Dieses Thema im Forum "Sicherheit" wurde erstellt von Altbiker, 25. November 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Altbiker

    Altbiker Byte

    Registriert seit:
    29. Mai 2005
    Beiträge:
    60
    Hallo, Bitte um Auskunft.

    Trojaner oder nicht?

    Nach der Installation des Audiorecorders N°23 Recorder treten folgende Probleme auf:
    Windows XP prof. erkennt aktive ZoneAlarm Firewall und AntiVir nicht mehr.
    Des weiteren meldet AntiVir in kontinuierlichen Abständen das Trojanische Pferd TR/Virtl.VB.AF., obwohl das Programm N°23 nicht aktiv ist.
    Auch während der Installation wurde der Trojaner gemeldet.
    C:\PROGRAMME\NO23 RECORDER\NO23RECORDER.EXE
    Ist das Trojanische Pferd TR/Virtl.VB.AF

    Meine Frage nun: Ist das ein Trojaner und verseucht das Programm den Rechner?
    Oder ist es nur eine Falschmeldung von AntiVir da das Programm diese Signatur TR/Virtl.VB.AF als Trojaner eingetragen hat?
     
  2. Thor Branke

    Thor Branke CD-R 80

    Registriert seit:
    8. Februar 2005
    Beiträge:
    9.484
    Hallo Altbiker,

    - aus welcher Quelle hast Du den Rekorder? Originalseite?

    - Meinst Du das Sicherheitscenter?

    - möglich ist ein Fehlalarm von AntiVir, daher teste die Installationsdatei des Rekorders einmal bei
    http://virusscan.jotti.org/de/

    - ferner: poste doch mal einen Hijack-This-LINK zur ausgewerten Logdatei nach dieser Anleitung.

    Gruß,
    Thor
     
  3. Altbiker

    Altbiker Byte

    Registriert seit:
    29. Mai 2005
    Beiträge:
    60
    Ja, Es wurden in der Registry beide mit einem Eintrag auf 0 gesetzt. Das hat das Programm Spyboot hat es gefunden und nach dem Löschen hat das Sicherheitscenter ZA u. AV wieder erkannt.

    Das Programm habe ich von der Originalseite!

    Scanergebnis von virusscan.jotti.org/de/

    Auslastung: 0% 100%

    Datei: No23Recorder.exe
    Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
    Entdeckte Packprogramme: PEBUNDLE

    AntiVir Trojan/Virtl.VB.AF gefunden
    ArcaVir Trojan.Virtool.Vb.Af gefunden
    Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden
    BitDefender Keine Viren gefunden
    ClamAV Keine Viren gefunden
    Dr.Web Keine Viren gefunden
    F-Prot Antivirus Keine Viren gefunden
    Fortinet Keine Viren gefunden
    Kaspersky Anti-Virus VirTool.Win32.VB.af gefunden
    NOD32 Keine Viren gefunden
    Norman Virus Control Keine Viren gefunden
    UNA Keine Viren gefunden
    VBA32 VirTool.Win32.VB.af gefunden
     
  4. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    kannst du mal noch zusätzlich die Datei hier überprüfen und das Ergebnis posten. Und dann fehlt,wie von Thor schon vorgeschlagen, das HijackThis Log. Kannst du noch mal was zur Vertrauenswürdigkeit der Quelle sagen von der du das Programm hast.


    Grüße Jasager
     
  5. Thor Branke

    Thor Branke CD-R 80

    Registriert seit:
    8. Februar 2005
    Beiträge:
    9.484
    Hallo,

    einmal zum Vergleich:

    die bei mir aufgespielte Fassung wurde über die Quelle von pcwelt.de heruntergeladen.

    Der Test der Installationsdatei bei jotti.de blieb gerade eben ohne Befund:

    [​IMG]

    Viel Glück,
    Thor :kaffee:
     
  6. Altbiker

    Altbiker Byte

    Registriert seit:
    29. Mai 2005
    Beiträge:
    60
  7. Thor Branke

    Thor Branke CD-R 80

    Registriert seit:
    8. Februar 2005
    Beiträge:
    9.484
  8. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    ich sehe gerade das no23 zu dem Virenalarm Stellung (Ticker rechts) nimmt, und sagt das es definitiv ein Fehlalarm sei. Dein HijackThis log spricht für die Fehlalarm Annahme. Also du solltest die Datei vielleicht in zwei/drei Tagen nochmal scannen und schauen ob die Virenscanner immernoch darauf anspringen.


    Grüße Jasager
     
  9. Altbiker

    Altbiker Byte

    Registriert seit:
    29. Mai 2005
    Beiträge:
    60
    Ok, danke erst mal, das habe ich übersehen sonst dürfte kein böses Programm auf meinen Rechner sein.
     
  10. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Fehlalarm ist gut, wenn es beim Download von PCW ohne Alarm klappt.

    Mein Kaspersky schlägt schon beim versuchten Download Alarm :D
     
  11. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    naja also der Unterschied ließe sich auch durch die verschiedenen Versionen erklären. PC-Welt Download (2.0.1.25) Direktdownload bei no.23 (2.1.0.2). Also ich gehe weiterhin schwer von einem Fehlalarm aus, gerade weil die Seite einen recht seriösen Eindruck hinterläßt, und der angeblich gefundene Virus so neu ist, das er nicht mal in der Kasperskydatenbank auftaucht.


    Grüße Jasager
     
  12. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Wieso? Bei mir erscheint doch eine Meldung von Kaspersky.

    EDIT:
    Der PC-Link führt doch direkt zur no23-Seite, exakt das gleiche...:confused:
     
  13. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    ich meinte nur das er noch nicht in der Datenbank ( www.viruslist.com ) auftaucht, erkannt wird er schon (Datenbank geht nur bis VirTool.Win32.VB.ae).

    Ups, hatte es gar nicht nachgeprüft, hatte nur in der Überschrift Version 2.0.1.25 gelesen.


    Grüße Jasager
     
  14. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Weshalb mich Thors Prüfung in #5 umso mehr verwirrt...:nixwissen:
     
  15. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    ich wage mal zu mutmaßen das Thors Version wahrscheinlich schon älter ist, aber das wird er bestimmt selbst gleich auflösen :D


    Grüße Jasager
     
  16. Thor Branke

    Thor Branke CD-R 80

    Registriert seit:
    8. Februar 2005
    Beiträge:
    9.484
    [​IMG]

    Könnte es daran liegen, dass ich kein AntiVir mehr benutze? :rolleyes:

    Die Version ist tatsächlich etwas älter. Habe sie mir am Tag, als der PCW-Artikel dazu erschien, gezogen. Auch im Infofenster läßt sich leider nicht aufdröseln, welche Version das bei mir ist. :nixwissen

    Klarheiten beseitigt?

    Thor
     
  17. Altbiker

    Altbiker Byte

    Registriert seit:
    29. Mai 2005
    Beiträge:
    60
    Ich hatte das Programm vor längerer Zeit, vor einem Crash, schon mal auf meinem Rechner, ohne das da irgend eine Trojanerwarnung kam.
    Allerdings ist diese Meldung jetzt nur beim AV aufgetreten und da auch erst nach dem letzten Update.
    Was mich aber auch Irritiert ist das nach der Installation in der Registry die AV und ZA Erkennung mit einem eigenen Eintrag auf 0 gesetzt wurde und dadurch daß Sicherheitscenter beide nicht mehr erkannt hat.
    Ok, Spybot - Search & Destroy hat daß gefunden und erledigt :bet: sowas sollte aber dennoch nicht Vorkommen :bse:
     
  18. Thor Branke

    Thor Branke CD-R 80

    Registriert seit:
    8. Februar 2005
    Beiträge:
    9.484
    Hallo Altbiker,

    wegen der Registryeinträge:

    bist Du sicher, dass da ein Zusammenhang besteht?

    Wo in der Registry werden die Einträge angelegt? Kennst Du die Pfade?

    Thor
     
  19. Altbiker

    Altbiker Byte

    Registriert seit:
    29. Mai 2005
    Beiträge:
    60
    Leider nein, da ja Spybot - Search & Destroy die Einträge gefunden und ich sie gelöscht habe.
    Aber mal sehen wenn ich das Programm nochmal installiere was dann kommt?
    Sollte es nochmal sein so werde ich mir den Pfad aufschreiben
     
  20. no23

    no23 ROM

    Registriert seit:
    27. November 2005
    Beiträge:
    1
    Hallo Leute,

    das mit der Virus-Meldung ist und war ein Fehlalarm.
    Die AV Hersteller haben bereits reagiert und mit dem neuen Update der AV Datenbank ist dieses Missverstendnis aus der Welt.

    Leider ist man als Softwareentwickler gegenüber solchen Meldungen machtlos. Da hilft nur gesunder Menschenverstand.

    Neueste Meldungen darüber findet Ihr auf unserer Webseite.


    Mit freundlichen Grüssen

    Ivan Bischof (Autor No23 Recorder)
    _________________________________________

    Bei Rückfragen erreichen Sie mich unter:

    Mail: ivan.bischof@No23.de
    Web: http://www.No23.de
    Mobil: +49 0178 804 43 54
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen