[deazrow]

hallo,

bin erst ein paar tage dabei und habe beim starten des dritten updates von sniper ghost warrior:

"SNIPER GHOST WARRIOR SKIDROW UPDATES 1,2,3"

eine virenmeldung vom avastscanner bekommen, die sich auf eine "server.exe" bezieht. besagte datei wurde als malware identifiziert, als "dropper gen.". konnte sie zwar aus dem container löschen und es kam auch nichts mehr nach, aber das heisst ja nichts...

ich habe die datei dann mal auf virustotal hochgeladen und laut dem ergebnis sieht das nicht unbedingt nach fehlalarm aus....:

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

meine fragen nun...

1. kann mir einer erklären- mit einleuchtender argumentation - warum das keine malware sein sollte, sondern NUR eine falschmeldung des avast?

2. soll/muss man sowas trotzdem melden, obwohl zumeist ja eh steht: "virenscanner meldet datei als schädling, ist aber keine" wie handhabt man das hier?

gruß

[deazrow]

uploader: "mazepritsche"

[pcblizzard]

Also grundsätzlich haben wir hier ein Thread für das richtige Verhalten bei Virenmeldungen: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Und nun zu deinen Fragen

1: Da die innenliegende Signatur die eins Virus ähnelt, springen einige AntiViren Programme dann an und "meckern". Warum ist das so? Die Cracks und KeyGens werden oft von Packern gepackt, die auch Virenersteller verwenden, daher werden, wie schon erwähnt, Cracks/KeyGens teilweise fälschlicherweise als Virus erkannt.

2. Also melden sollte man eigentlich jeden Fund, wir überprüfen es dann via Virustotal und/oder halt auch in 'ner "sicheren Umgebung.


Da ich nicht "Doktor Allwissend" bin, kann ich auch Fehler machen. Falls eine Info falsch sein sollte, einfach berichtigen


Gruß blizz

[deazrow]

hallo blizzard,

danke für die antwort...
den thread habe ich mir nun durchgelesen zu den virenfunden, hatte ja in dem falle hier von alleine schon den link zu virustotal geposted, wo ich die gefundene server.exe hochgeladen hatte, das ergebnis kann ja jeder über den link einsehen...

was ist davon zu halten? unter den scanprogrammen, die die server.exe als virus/wurm/malware klassifizieren sind ja nun in der tat auch einige der namhaften firmen...

wenn ihr selbst in virusfundfällen bei virustotal hochladet, was würdet ihr den in so einem ergebnis nun entscheiden??

danke

mfg

[spidder]

"server.exe" ist auch der standard Dateiname der meißten 1-Klick-Trojaner Generatoren.
Wenn ich so eine Datei in einem Download habe, fliegt das Zeug immer direkt wieder runter.
Könne hier auch so sein.
Zumal eine server.exe bei diesem Spiel nicht als Crack vorgesehen ist, soweit ich mich erinnern kann.

[pcblizzard]

Also die Entscheidung hängt vom jeweiligen Mod/Co-Admin ab. Ich persönlich mache mir bis 10 von 42 Funde keine als zu großen Gedanken alles darüber hinaus überprüfe ich dann noch mal in eine Virtuellen Umgebung wo, der Virus (wenn einer drinnen sein sollte) nichts anstellen kann.

Ohne die *.exe selbst jetzt getestet zu haben, würde ich in dem Fall das Ding wohl löschen (schon alleine der Name "Server.exe" und das die "Mozilla Corporation" die *.exe herausgegeben haben soll, macht mich stutzig - vor allem bei einem Update für ein Spiel)

[deazrow]

ja, in der tat ist server.exe eine weitverbreitete namensgebung für diverse trojan oder rat sachen, habe in den letzten tagen einiges drüber gelesen....

habe natürlich das ding sofort aus dem container gelöscht nach dem hochladen bei virustotal, kam mir auch nicht sehr sauber vor auf anhieb... das problem ist nur, dass man als laie ja nichtmal weiß, ob die server.exe jetzt schon gestartet war beim update ausführen oder nicht. kann nicht beurteilen in welchem status oder moment der avast sie in den container verschoben hat.... ist zwar danach von mir gelöscht worden, aber heute gibt es ja genug schädlinge die auch unsichtbar munter im hintergrund vor sich hinwerkeln...

bleibt wohl nur image rein und neu, auch wenns manchem übertrieben scheinen mag, scheint mir aber jetzt die beste lösung.

gruß

p.s. habe mir den sandboxlink mal angeschaut... das wäre aber keine möglichkeit um in der sterilen umgebung der sandbox spiele installieren und spielen zu können oder?