Virus in URU ABM?

Hier werden alle grundsätzlichen und technischen Anforderungen und Probleme zu Myst Online: Uru Live diskutiert.
Antworten
Benutzeravatar
ctrannik
Forscher
Beiträge: 8
Registriert: 24.02.2008, 01:58

Virus in URU ABM?

Beitrag von ctrannik » 20.03.2008, 02:36

Hallo, wollte dass der erste Post hier nicht so wird, aber na ja.

Ich wollte nach zwei Jahren wieder mal Online gehen, um wenigstens beim Ende dabei zu sein. Habe also die ABM installiert und ganz am Ende popt sich die Viruswarnung, Zugriff auf versäuchte Datei. Den habe ich gleich unterbunden, die Installation scheint aber durch zu sein. Lasse ich nun den Scanner über die CD laufen, findet der Scanner eine eine Datei im Archiv (die einzige auf der CD), infiziert mit dem obengenannten Exemplar.

Archivpfad CD:\Resource1.zip, internes Pfad C_\Uru Install\URU Files\Temp\ShellEx.exe.

Die CD ist im März 06 bei Amazon gekauft. Es gibt keine Datei darauf, die junger ist als 9.10.03. Die Virusinfo schickt mich auf http://www.antiviruslab.com/search.php? ... ZS%20[Drp]

Dort steht aber, das Virus wurde erst Januar 07 entdeckt. Das würde erklären warum ich nach dem Kauf nie eine Warnung bekommen hatte. Trotzden ist das Ganze recht seltsam.

Wie kommt das Virus auf eine CD von Ubi? Habe ich doch eine Fälschung erwischt? Die CD ist optisch von ganz normalen kaum zu unterscheiden. Wenn es eine Fälschung ist, geht sie sofort in den Schredder. Nur, wo bekomme ich noch eine garantiert unverseuchte CD her?

Der Pfad, wo die infizierte Datei ist, ist auch seltsam, in einem scheinbar miteingepackten temporären Verzeichnis. Dort liegen aber auch noch drei Files mit Namen, die für sich sprechen, IsAdmin.exe, MakeFilesHidden.exe, OpenTxtFile.exe (der ist noch harmlos) und eben ShellEx.exe.

Den Zugriff auf die Datei habe ich verwehrt. Scan des Rechners und der Installation hat nichts gefunden. Im Windows-Tempverzeichnis ist nach der Installation neben den vier angegebenen Dateien auch noch eine zu finden, AntiScreenSaver.exe. Nach der Installation kann ich sie löschen oder verschieben.

Etwas brauchbares finde ich im Net zu keiner der Dateien außer der um die es anfangs ging.

Das ist mir zu eigenartig, dass ich so online gehen kann. Kann bitte jemand seine URU ABM mal prüfen oder zumindest sagen, dass der Inhalt seiner CD der Abbildung (CD-Inhalt.png) entspricht.

Achso, ich habe die betreffende Datei an http://www.virustotal.com geschickt. Von allen 32 Scannern hat nur Avast v4.7.1098.0 das Virus gefunden, keiner der anderen, auszug:

Code: Alles auswählen

Datei ShellEx.exe empfangen 2008.03.20 01:14:23 (CET)

Antivirus         Version       letzte aktualisierung     Ergebnis
AhnLab-V3         2008.3.19.1   2008.03.19                -
AntiVir           7.6.0.75      2008.03.19                -
Authentium        4.93.8        2008.03.19                -
Avast             4.7.1098.0    2008.03.19                Win32:Agent-DZS
AVG               7.5.0.516     2008.03.19                -
BitDefender       7.2           2008.03.20                -
CAT-QuickHeal     9.50          2008.03.14                -
ClamAV            0.92.1        2008.03.20                -
DrWeb             4.44.0.09170  2008.03.19                -
eSafe             7.0.15.0      2008.03.18                -
eTrust-Vet        31.3.5628     2008.03.19                -
Ewido             4.0           2008.03.19                -
F-Prot            4.4.2.54      2008.03.19                -
F-Secure          6.70.13260.0  2008.03.19                -
FileAdvisor       1             2008.03.20                -
Fortinet          3.14.0.0      2008.03.19                -
Ikarus            T3.1.1.20     2008.03.19                -
Kaspersky         7.0.0.125     2008.03.20                -
McAfee            5255          2008.03.20                -
Microsoft         1.3301        2008.03.19                -
NOD32v2           2961          2008.03.20                -
Norman            5.80.02       2008.03.19                -
Panda             9.0.0.4       2008.03.18                -
Prevx1            V2            2008.03.20                -
Rising            20.36.22.00   2008.03.19                -
Sophos            4.27.0        2008.03.20                -
Sunbelt           3.0.978.0     2008.03.18                -
Symantec          10            2008.03.20                -
TheHacker         6.2.92.250    2008.03.19                -
VBA32             3.12.6.3      2008.03.17                -
VirusBuster       4.3.26:9      2008.03.19                -
Webwasher-Gateway 6.6.2         2008.03.19                -

weitere Informationen
File size: 16384 bytes
MD5: cea567ed21481fafe8c310626af18e5b
SHA1: 6c6ca5d64d2b32ddc6b78616d510a66b94112c07
PEiD: Armadillo v1.71
Wie Kann das sein, dass kein anderer Scanner außer GData und AVast den entdecken kann.

Falls der Inhalt der Abbildung entspricht, ist vor allem die Datei C_\Uru Install\URU Files\Temp\ShellEx.exe aus Resource1.zip interessant.

Wenn ich mir Die Suchergebnisse nach ShellEx.exe anschaue, kann ich den Posting wahrscheinlich nur auf eine Frage reduzieren, wo kriege ich noch eine unverseuchte URU ABM CD?

Danke

PS. Path of the Schell wurde geprüft und ergab keine Ergebnisse.
Dateianhänge
Details zum Virusfund. Virusinfo schickt nach http://www.antiviruslab.com/search.php?v1=Win32:Agent-DZS%20[Drp]
Details zum Virusfund. Virusinfo schickt nach http://www.antiviruslab.com/search.php?v1=Win32:Agent-DZS%20[Drp]
Inhalt des verdächtigen Archivs
Inhalt des verdächtigen Archivs
Inhalt der URU ABM CD
Inhalt der URU ABM CD
Benutzeravatar
Thoro
Forscher
Beiträge: 1494
Registriert: 23.09.2004, 14:43
Geschlecht: männlich
KI-Nummer: 529779
Wohnort: Duisburg
Alter: 41
Kontaktdaten:

Beitrag von Thoro » 20.03.2008, 11:23

Kannst deine CD gefahrlos benutzen. Ich habe eine CD von 2003 und die identische Datei auf meiner CD (gleiche Prüfsumme). Ich vermute Avast hat hier lediglich eine falsch-positive Erkennung, d.h. Teile der Datei stimmen rein zufällig mit dem Fingerabdruck der gemeldeten Schadsoftware überein.
Sarkasmus ... wie originell.
Benutzeravatar
Tachzusamm
Forscher
Beiträge: 624
Registriert: 21.08.2005, 20:56
KI-Nummer: 602079
Wohnort: Dortmund
Alter: 61

Re: Virus in URU ABM?

Beitrag von Tachzusamm » 20.03.2008, 14:44

Hallo ctrannik und Willkommen im Forum.

Abgesehen von dem Problem mit der Viruswarnung, macht mich dieses hier stutzig:
ctrannik hat geschrieben:Ich wollte nach zwei Jahren wieder mal Online gehen, um wenigstens beim Ende dabei zu sein. Habe also die ABM installiert und [..]

Das ist mir zu eigenartig, dass ich so online gehen kann. Kann bitte jemand seine URU ABM mal prüfen [..]

PS. Path of the Schell wurde geprüft und ergab keine Ergebnisse.
Um online zu spielen, benötigst Du die URU ABM CD ja garnicht; ebensowenig Path of the Shell.
Das "URU Live", worauf Dich die Ubisoft-Installation hinweist, wurde nicht weitergeführt.
Zwischenzeitlich gab es dann die Möglichkeit, in Untìl URU auf Cyan-Servern zu spielen (wozu dann in der Tat eine ABM oder tPotS-Installation nötig war, die man noch patchen musste), allerdings gibt es diese Möglichkeit seit ca. 15 Monaten auch nicht mehr.
Seit Januar 2007 ist "online spielen" nur über GameTap möglich, was sich dann Myst Online: URU Live nennt - leider auch nur noch ein paar Tage. Aber hierzu ist keine CD notwendig, man lädt alle Software herunter.


Den CD-Inhalt guck ich mir zum Vergleich aber gleich auch mal an.

:wink:

EDIT: Meine ABM-CD schaut vom Inhalt her genauso aus, der Inhalt der Datei resource1.zip ebenfalls.
Benutzeravatar
ctrannik
Forscher
Beiträge: 8
Registriert: 24.02.2008, 01:58

Beitrag von ctrannik » 20.03.2008, 17:05

Hallo und danke an Euch beiden.

Gut, dann bin ich beruhigt, dann nehme ich meine Fälschungsanschuldigung für den Verkäufer zurück. Habe mir inzwischen überlegt, dass auch vernünftige Aktionen mit diesen recht verdächtigen Namen möglich sind, etwa verhindern das der Bildschirmschöner aufgeht (AntiScreenSaver.exe) So kann es sich auch wirklich um eine falsch-positive Erkennung handeln.

Dass ich für MOUL keine ABM oder PotS Cd brauche, wusste ich wirklich nicht. Vielen Dank für den Hinweis. Ich hatte mir diesen Beitrag http://www.uru-reallife.com/viewtopic.p ... ght=online von Hamsta so verstanden, dass ich nach der Registrierung einen Patch herunterlade, den ich dann auf eins der Spiele anwenden muss.

Dann werde ich schauen, dass ich noch dieses WE online bin.

Viele Grüsse
Antworten