Was ist mit W32/Retroy.A? |
Willkommen, Gast ( Anmelden | Registrierung )
Was ist mit W32/Retroy.A? |
27.09.2003, 17:37
Beitrag
#1
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.092 Mitglied seit: 14.08.2003 Wohnort: Asten, OÖ Mitglieds-Nr.: 149 Betriebssystem: Windows 11 Home x64 Virenscanner: Windows Defender Firewall: Router+Windows Firewall |
Hallo Zusammen,
ich habe vor ein Paar Tagen so spaßhalber den Bitdefender Free 7.0 an meinem PC installiert. Beim Fullscan endteckte er den o.g. Virus: ZITAT ...C:\Programme\Real\RealOne Player\~Upg43\CreateDirectory.exe Infected Win32.Retroy.A C:\Programme\Real\RealOne Player\~Upg43\CreateDirectory.exe Disinfection failed - Trying second action C:\Programme\Real\RealOne Player\~Upg43\CreateDirectory.exe Moved... ...zu Quarantene. Die Datei wurde, wie die allen anderen in diesem Verzeichniss, am 08.06.03 bei der Installation von Real Player gespeichert und von keinem aus den nächsten AV-Programmen gemeldet: NVC 5.6, AVPE 6.20, Panda-OnlineScan, Trendmicro Housecall, Kaspersy Filecheck, Symantec Security Check- Online Ich habe die Datei an Bitdefender geschickt. Hier ist die Antwort: ZITAT ...The file is indeed infected with Win32.Retroy.A, and is also detected by Sophos as Troj/Retroy-A. It is also true that the virus is not detected by any other product on the market except the ones mentioned. Please don't change the subject of the email in order to better keep track of the message history. Feel free to contact us with any suggestion or should you require more information. ...tja. Ich bin zu schwach in der rumänischen Sprache, um die Antwort richtig interpretieren zu können. Google.de brachte mir einen Beitrag vom Mai d.J. in einem Forum, der ohne jegliche Antwort blieb. Soll ich: a) die Datei \\CreateDirectory.exe löschen ??? b) die Datei \\CreateDirectory.exe an Real.com schicken ??? c) gar nix tun ??? Ich persönlch würde zum Punkt c) tendieren. Und Ihr? Der Beitrag wurde von Rene-gad bearbeitet: 27.09.2003, 17:41 -------------------- Gruß
Rene-gad Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen. Roesen's Law |
|
|
27.09.2003, 18:12
Beitrag
#2
|
|
Leader of the Pack & Mr. Shishandis Gruppe: Administratoren Beiträge: 4.412 Mitglied seit: 19.04.2003 Wohnort: Kaufungen Mitglieds-Nr.: 43 Betriebssystem: Mac OS 10.5 Leopard Virenscanner: keinen Firewall: keine |
kannst Du die Datei mal zu mir rübersenden ? virus@rokop-security.de
-------------------- (-- Roman --)
|
|
|
Gast_Gladiator_* |
29.09.2003, 07:42
Beitrag
#3
|
Gäste |
Roman, bitte schicke mir diese Datei auch mal - meine eMail Adresse hast Du ja.
|
|
|
Gast_Gladiator_* |
29.09.2003, 09:02
Beitrag
#4
|
Gäste |
Tja, das ist halt schon sch.... wenn man keine Signaturen erstellen kann und wie hier in dem Fall Bitdefender eine Signatur ueber die Runtime Lib von Rapid Q (Basic Compiler mit dem der urspruengliche Trojaner Retroy programmiert wurde) zieht
Betroffen sind folgende Libs: RAPIDQ4.LIB und RAPIDQ4C.LIB - und das sind stinknormale Runtime Libs von dem Compiler - nix Virus. Mich hatte schon gewundert, dass der gar keine FindFirst/Next Funktionen nach *.HTM drin hat. Mal genauer angeschaut und siehe da - kein Virus. Kaspersky macht hier uebrigens auch Mist - RapidQ ist kein Runtime Packer, sondern eine Runtime Library.... Schreib denen von Bitdefender am besten mal die sollen ueber den letzten Teil des Files eine Signatur ziehen und nicht upx files entpacken und dann ueber die Runtime Library ziehen Gruesse Gladi |
|
|
29.09.2003, 09:03
Beitrag
#5
|
|
"Macro"- Master Gruppe: Virenexperten Beiträge: 567 Mitglied seit: 29.06.2003 Mitglieds-Nr.: 119 Virenscanner: Avira Internal Betas |
Och da sind die Jungs von Bitdefender nicht die einzigen mit Sigs über Runtime Lib machen:
http://groups.yahoo.com/group/rapidq/message/17703 McAfee und AVG hatten da wohl auch mal False Positives... -------------------- Defining winds
The siren sings A shift within New discipline A second skin An origin that marks the point of no return |
|
|
Gast_Gladiator_* |
29.09.2003, 09:05
Beitrag
#6
|
Gäste |
Du haettest Dich einfach nur rumdrehen muessen und mir auf die Schultern klopfen damit ich die Kopfhoerer abnehme - dann haettest Du es mir auch sagen koennen
|
|
|
29.09.2003, 09:06
Beitrag
#7
|
|
"Macro"- Master Gruppe: Virenexperten Beiträge: 567 Mitglied seit: 29.06.2003 Mitglieds-Nr.: 119 Virenscanner: Avira Internal Betas |
Ne du wirktest so beschäftigt.
-------------------- Defining winds
The siren sings A shift within New discipline A second skin An origin that marks the point of no return |
|
|
Gast_Gladiator_* |
29.09.2003, 09:11
Beitrag
#8
|
Gäste |
Bis gegen 9 Uhr laufe ich im abgesicherten Kompatibilitaetsmodus - dannach voll multitaskingfaehig trotz Kopfhoerer
|
|
|
Gast_Andreas Haak_* |
29.09.2003, 10:26
Beitrag
#9
|
Gäste |
So früh schon arbeiten? *kopf schüttel* ... nene *g*.
|
|
|
29.09.2003, 11:26
Beitrag
#10
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.934 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
ZITAT(SkeeveDCD @ 29. September 2003, 10:02) McAfee und AVG hatten da wohl auch mal False Positives... Also Mcafee at das schon seit Mitte 2001 im Griff. -------------------- MfG Ralf
|
|
|
29.09.2003, 17:09
Beitrag
#11
|
|
Threadersteller Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.092 Mitglied seit: 14.08.2003 Wohnort: Asten, OÖ Mitglieds-Nr.: 149 Betriebssystem: Windows 11 Home x64 Virenscanner: Windows Defender Firewall: Router+Windows Firewall |
Hallo Zusammen,
vielen Dank an Rokop, Gladiator und alle Beteiligte. -------------------- Gruß
Rene-gad Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen. Roesen's Law |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 19.04.2024, 04:55 |