Audacious - Virus oder Trojaner

[happyfalke]

Sobald ich Audacious beende. Verschwindet auch die temp-Datei.

 

[Jesterfox]

@madmax2010 ... Es findet gar kein AntiVirus Programm beim scannen etwas.

Auch schon mal mit einem Scanner von einer Boot-CD (oder USB-Stick) probiert, z.B. dem Desinfec't der c't? Ich weiß jetzt nicht in wie weit Wacatac Tarnfähigkeiten hat, aber das verhalten mit der Mediendatei klingt n bissl danach ob du das Teil nicht doch bei dir drauf haben könntest (möglicherweise auch aus einer Quelle die nichts mit deinem Medienplayer zu tun hat, das Ding verbreitet sich wohl recht weit im System und fängt dann wohl an alles mögliche an Dateien zu modifizieren)

 

[wirelessy]

Die Datei dürfte eigentlich nur verschwinden, wenn die Datei im Defender freigegeben wurde.

Ohne die Datei kann dir halt keiner sagen, ob da wirklich irgendwas gefährliches dran ist.

So sollte ein Fund aussehen:

Da wählste dann Quarantäne, und stellst das wie hier beschrieben her: https://docs.microsoft.com/de-de/wi...uarantined-files-microsoft-defender-antivirus

Sonst ist dann wohl tatsächlich @Jesterfox Richtung am besten - möglichst viele Virenscanner von extern drauf schmeißen und denen irgendwie vertrauen .

 

[Jesterfox]

Ein vom fremden Medium gebooteter Scanner hat halt ne deutlich bessere Chance was zu erkennen als einer der auf einem kompromitierten System läuft. Und bei dem was man über diesen speziellen Trojaner findet könnte das evtl. auch eine reale Infektion sein und nicht nur ein false positive (und die Infektion sollte man dann auch nicht auf die leichte Schulter nehmen, das Ding versucht wohl alles mögliche an Daten zu klauen und evtl. weitere Malware nachzuladen)

 

[happyfalke]

Hier mal mit VLC mediaplayer geöffnet.

 

[Jesterfox]

Da meckert er jetzt das art.png an, also wohl die Cover Art zu dem Song. War das vorhin beim selben Song oder passiert das bei verschiedenen?

 

[wirelessy]

Hm, evtl. ist dieses .png das, was in Audacious im Temp-File landet.

Kannst diese art.png bitte hier hochladen?

Das hochgeladene Lied ist ja vom selben Album.

 

[happyfalke]

Passiert bei verschiedenen Songs. art.png wurde gelöscht.

Sobald Defender was findet löscht er auch das Bild dazu im Ordner.

 

[Jesterfox]

Hm, also auch bei verschiedenen Alben? Dann hast du entweder die Dateien aus einer verseuchten Quelle oder selber den Trojaner am PC...

 

[wirelessy]

... oder es ist immer noch ein False-Positive.
Aber ohne Datei kann man des halt nicht sagen. Anleitung, wie du dran kommst, hab ich geliefert.

 

[happyfalke]

Ich kann die Datei nur "Zulassen".

 

[Jesterfox]

... oder es ist immer noch ein False-Positive.

Wenn es tatsächlich nur bei dem einen Album ist, dann durchaus möglich. Deswegen auch die Frage ob mehrere Alben/Ordner betroffen sind, das war aus der Beschreibung nicht ganz klar.

PS: und selbst wenn das Ding tatsächlich verseucht ist heißt das noch nicht dass der Virus den PC schon befallen hat... der AV macht ja grad ganze Arbeit ;-) dazu kommt noch das bei nem PNG der Payload nur auf Fehler in Bilddecodern abzielen kann und das teil ist glaub ich schon älter... da sollte denk ich die meiste Software mittlerweile immun sein (aber keine Gewähr)

 

[happyfalke]

Der Virus ist mir jetzt bei zwei Alben aufgefallen. Ich habe mal Defender im Offline Modus laufen lassen. Ohne Erfolg.

Gibt es da vielleicht ein Tool der speziell für den Virus gedacht ist?

Wenn ich Windows neu aufsetzen würde. Ist der Virus dann weg oder hängt der noch in den Musik Dateien?

 

[happyfalke]

Komisch. Selbe Datei auf einmal ohne Viren Meldung. Da konnte ich die Datei von sichern.

 

[Jesterfox]

Ist der Virus dann weg oder hängt der noch in den Musik Dateien?

Der Virus wenn er aktiv ist hängt sich in alle möglichen Dateien... sollte dein PC infiziert sein muss man alle Daten kritisch betrachten. Wenn aber nur ein paar Mediendateien die neu sind als infiziert erkannt werden ist es möglich dass das System noch nicht befallen ist.

Der beste Scan dafür ist wie gesagt ein externer von einem Boot-Medium mit Virenscanner, damit der Virus selber beim Scan nicht aktiv sein kann.

 

[wirelessy]

Ohne Meldung ist das leider relativ wertlos.

Die Datei ist ein nacktes PNG ohne Zusatzinhalte, ganz konkret das Oli P. / Alles gut-Albemcover.
Absolut nichts bösartiges dran, aber der Scanner spricht ja auch nicht drauf an.

 

[happyfalke]

Ich habe mein Rechner mal mit Kaspersky Rescue Disk 18 gebootet und gescannt . Nichts gefunden.

 

[chrigu]

Dann wird wohl der avast fake-News verteilen. Wende dich an den Support.

 

[happyfalke]

Ich habe das hier mal bereinigt. Bis jetzt kam keine Virenmeldung mehr. Ich hoffe das bleibt auch so.

 

[wirelessy]

@chrigu Hart, dass du nach der Menge Posts immer noch nicht realisiert hast, dass die Meldung vom Defender kam.

@happyfalke Ich würd das auch erstmal als False-Positive verbuchen. So richtig sicher sein kannst du dir dabei aber nicht, halt das System gut im Auge, was sich da bewegt. Insbesondere die verschiedenen Autostart-Mechanismen.